Berliner Datenschutzbeauftragter: Safe Harbor am Ende?

Am 28. Januar 2015 wurde der 9. Europäische Datenschutztag gefeiert. Die deutschen Datenschutzaufsichtsbehörden nahmen dies bei der von Ihnen gemeinsam in Berlin initiieren Veranstaltung zum Anlass, um zuvor auf einer Pressekonferenz Kritik an der derzeitigen Praxis von Datentransfers in die USA zu üben (vgl. die Meldung bei heise online).

Nach Auffassung der deutschen Behörden können Datenübermittlungen in die USA nicht mehr ohne weiteres auf das bestehende Instrument „Safe Harbor“ gestützt werden. Hierbei handelt es sich um eine Entscheidung der Europäischen Kommission, die Unternehmen, welche sich einem freiwilligen Selbstzertifizierungssystem unterwerfen, ein angemessenes Datenschutzniveau bescheinigt und damit auch Übermittlungen personenbezogener Daten an diese Unternehmen aus der Europäischen Union gestattet (zu Safe Harbor hatte ich bereits früher einmal gebloggt).

Die deutschen Behörden haben nach der Safe Harbor Entscheidung unter bestimmten Voraussetzungen die Befugnis, einzelne Datenübermittlungen in die USA zu untersagen, insbesondere wenn die Vorgaben der Entscheidung systematisch verletzt werden würden. Aus Sicht der deutschen Aufsichtsbehörden sind die Voraussetzungen derzeit erfüllt. Aus diesem Grund wurden in Berlin und Bremen auch entsprechende Verwaltungsverfahren eingeleitet, die konkrete und laufende Datenübermittlungen unterbinden sollen. Diese laufen gegenwärtig noch und sind nicht abgeschlossen.

Der Berliner Datenschutzbeauftragte, Dr. Dix, hat im Rahmen der Veranstaltung am 28. Januar 2015 in Berlin einen Vortrag zum gegenwärtigen Stand von Safe Harbor aus Sicht der Aufsichtsbehörden gehalten. Dieser Vortrag ist nun kostenlos abrufbar (PDF) und durchaus interessant zu lesen, auch wenn man freilich nicht jeder in dem Beitrag vertretenen Ansichten folgen muss.

Wie es mit Safe Harbor weitergeht, bleibt abzuwarten. Das Vorabentscheidungsersuchen des irischen High Court an den EuGH im Verfahren zwischen Max Schrems und der irischen Datenschutzbehörde, dürfte die nächste wichtige Wegmarke darstellen.

Datenschutzreform: neue Ratsdokumente belegen anhaltenden Diskussionsbedarf

Unter EUDataP-links.com, einer Unterseite dieses Blogs, habe ich neue Dokumente aus der DAPIX (die für den Datenschutz zuständige Ratsarbeitsgruppe) zur Datenschutzreform verlinkt. Thematisch geht es dabei vor allem um den Dauerbrenner „one-stop-shop“ und den Datentransfer in Drittstaaten.

Wie sich aus den Dokumenten ergibt, besteht weiterhin anhaltender Diskussionsbedarf zwischen den europäischen Mitgliedstaaten in Bezug auf das Streben nach einer gemeinsamen Position zur geplanten Datenschutz-Grundverordnung (DS-GVO). Die Dokumente datieren von Ende April 2014, bilden daher wohl nicht den aktuellsten Stand der Verhandlungen ab.

Dennoch zeigt ein Blick in die Papiere und dabei insbesondere in die Fußnoten, dass Mitgliedstaaten teilweise erheblichen Diskussions- und Änderungsbedarf hinsichtlich elementarer Grundsätze der geplanten DS-GVO sehen. Beispielhaft möchte ich kurz auf das Dokument zu Datentransfers in Drittstaaten eingehen (8087/1/14 REV 1, PDF).

Einige Mitgliedstaaten zweifeln die Wirksamkeit des Prinzips der Angemessenheitsentscheidungen durch die Europäische Kommission an (siehe Fn. 13). Diese Angemessenheitsentscheidungen werden von der Kommission getroffen, um einem Drittland oder auch nur einem bestimmten Industriebereich eines Drittlandes, ein angemessenes Datenschutzniveau zu attestieren und damit Datentransfers aus der EU dorthin zu ermöglichen. Frankreich möchte zudem wissen, ob Datenübermittlungen im Rahmen des Cloud-Computing nach Ansicht der Kommission ebenfalls einen internationalen Datentransfer darstellen. Deutschland schlägt vor, dass in der DS-GVO Regelungen für die Einrichtung von Selbstverpflichtungsmechanismen in Drittstaaten (wie etwa Safe Harbor in den USA) aufgenommen werden.

Zudem werden in dem Ratsdokument auch neue Anforderungen an die den Datentransfers zugrundeliegenden Instrumenten gestellt. So sollen in unternehmensweit geltende Richtlinien (BCRs), welche durch die nationalen Datenschutzbehörden freigegeben werden müssen, nach Art. 43 Abs. 2 (l) auch Hinweise auf die in einem Konzern vorgehaltenen Mechanismen gegeben werden, welche dort existieren, um eine Datenschutzbehörde auf Anforderungen des Rechts eines Drittstaates hinzuweisen, die ein Unternehmen des Konzerns verpflichten und sich negativ auf den durch die BCRs gewährten Schutz der personenbezogenen Daten auswirken können. Im Blick hatte man hierbei wohl vor allem Anfragen und Herausgabeverlangen von drittstaatlichen Behörden.

Auf Vorschlag der deutschen Delegation (Fn. 75) wurde zudem die Voraussetzung einer „ausdrücklichen“ Einwilligung in Art. 44 Abs. 1 (a) eingefügt, die als Grundlage einer Datenübermittlung in einen Drittstaat dienen kann. Vorher war hier nur von einer „Einwilligung“ die Rede.

Bereits ein Blick in dieses Dokument zu einem besonderen Themenbereich zeigt, dass die Diskussionen im Rat weiter anhalten, Vorschläge gemacht und Änderungen eingearbeitet werden. Wenn man die Fußnoten und damit die Anmerkungen der Mitgliedstaaten liest, dann fällt zudem auf, dass Deutschland einer der aktivsten Diskussionsteilnehmer ist, sei es nun durch das Einbringen eigener Vorschläge oder kritische Anmerkungen.

Europäische Datenschützer: Vorschläge zur Verbesserung von Safe Harbor

Die Vertreter der europäischen Datenschutzbehörden (Art. 29 Gruppe) haben Justizkommissarin Viviane Reding in einem Brief ihre Verbesserungsvorschläge (PDF) zur Überarbeitung der Safe Harbor Entscheidung der Europäischen Kommission übersendet. Derzeit wird diese Entscheidung, welche bestimmte Prinzipien zur Übermittlung von personenbezogenen Daten von Europa in die USA für teilnehmende amerikanische Unternehmen aufstellt, vor dem Hintergrund der Snowden-Enthüllungen überarbeitet. Die Kommission hatte dem amerikanischen Handelsministerium hierfür im November 2013 bereits 13 konkrete Vorgaben gemacht (Mitteilung der Kommission, COM(2013) 847, PDF), welche bis zum Sommer 2014 umgesetzt werden sollen. Im nachfolgenden möchte ich einige der Vorschläge der Art. 29 Gruppe ansprechen.

Zur Not: Aussetzen

Die Art. 29 Gruppe stellt zunächst klar, dass die Gewährleistung eines angemessenen Schutzniveaus unter Safe Harbor für die Daten europäischer Bürger derzeit fraglich erscheint. Sie begrüßt die Entscheidung der Kommission, Safe Harbor neu zu verhandeln und auch die 13 bereits identifizierten Änderungsvorgaben. Sollte der Überarbeitungsprozess jedoch zu keinem positiven Ergebnis gelangen, dann sprechen sich die Datenschützer für eine Aussetzung von Safe Harbor aus. Zudem verweisen sie auf die stets bestehende Möglichkeit für nationale Datenschutzbehörden, einzelne Datentransfers in die USA zu unterbinden.

Anwendbares Recht
Die Art. 29 Gruppe schlägt vor, in Safe Harbor klarzustellen, dass amerikanische Unternehmen, die keine Niederlassung in der EU besitzen, sich auch dann an europäisches (nationales) Datenschutzrecht halten müssen, wenn sie personenbezogene Daten in einem Mitgliedstaat erheben und hierzu auf Mittel zurückgreifen, welche in dem Mitgliedstaat belegen sind.

Anmerkung: Die Datenschutzbehörden verstehen unter diesen „Mitteln“ etwa PCs auf denen Cookies platziert werden. Die vorgeschlagene Änderung dient wohl vor allem der Information der amerikanischen Unternehmen, die eventuell davon ausgehen, dass sie europäische Vorgaben nicht zu beachten haben.

Transparenz
Wirtschaftszweige, welche nicht der Zuständigkeit der amerikanischen FTC und damit der Überwachung der Einhaltung der Safe Harbor Prinzipien unterliegen, sollten deutlicher hervorgehoben werden. Die online auf der Webseite des amerikanischen Handelsministeriums abrufbaren Zertifikate der teilnehmenden Unternehmen sollten genauer Auskunft darüber geben, welche Datenarten vom Zertifikat erfasst werden und welche Einheiten eines Konzerns umfasst sind.
Teilnehmende Unternehmen sollten Informationen zum Datenschutz und zur Einhaltung der Safe Harbor Prinzipien im Internet deutlicher und verständlicher präsentieren. Zudem sollten Betroffene deutlich auf ihr Auskunftsrecht und wie sie dieses ausüben können, hingewiesen werden. Auch die Aufgaben der verschiedenen beteiligten staatlichen Institutionen und ihre Befugnisse sollten in der Safe Harbor Entscheidung klarer festgelegt werden.

Rechtsschutz
Betroffenen sollte das Recht eingeräumt werden, vor einem zuständigen nationalen Gericht in der EU Klage gegen ein amerikanisches Unternehmen auf Schadenersatz erheben zu können, wenn eine rechtwidrige Datenverarbeitung vorliegt. Zudem sollten die amerikanischen Unternehmen dazu angehalten werden, europäische Anbieter zur außergerichtlichen Streitbeilegung zu wählen. Derzeit müssten viele Betroffene sich mit amerikanischen Anbietern einer solchen Streitbeilegung auseinandersetzen, was jedoch Schwierigkeiten bei der Rechtsdurchsetzung mit sich bringe.
Unabhängig davon sollte für Betroffene das Recht vorgesehen werden sich stets an die für sie zuständige nationale Datenschutzbehörde wenden und ihre Beschwerde dort einbringen zu können. Zudem sollten die Regeln zu Verantwortlichkeit der teilnehmenden amerikanischen Unternehmen deutlicher ausgestaltet werden.

Gebühren
Derzeit verlangen einige der Anbieter einer außergerichtlichen Streitbeilegung noch Gebühren, wenn sich europäische Nutzer an sie wenden. Die Art. 29 Gruppe fordert, dass diese Gebühren abgeschafft werden müssen.

Zugang durch US-Behörden
Ausnahmen von der Einhaltung der in Safe Harbor aufgestellten Prinzipien sollten eingeschränkt werden. Zudem ist es der Art. 29 Gruppe wichtig, dass das aus dem europäischen Recht bekannte Notwendigkeits- und Verhältnismäßigkeitsprinzip für Ausnahmen Anwendung findet. Die Möglichkeit zur Aussetzung von Datentransfers sollte deutlicher umschrieben werden.
Zudem schlagen die Datenschützer vor, dass der Begriff der „Verarbeitung personenbezogener Daten“ in Safe Harbor definiert wird und zwar in Form der europäischen Idee. Denn in den USA zählt die Erhebung von Daten noch nicht zur „Verarbeitung“, in Europa jedoch schon. Daher greifen in den USA Schutzmechanismen für eine Verarbeitung personenbezogener Daten erst nach der Stufe der Erhebung dieser Daten ein.

Weitergabe der Daten
Nach den bestehenden Prinzipien darf ein Unternehmen die ihm übermittelten Daten nur an Dritte weitergeben, wenn es Grundsätze der Informationspflicht und der Wahlmöglichkeit anwendet. Wenn Daten an einen Dritten weitergeben werden sollen, der im Auftrag und auf Anweisung tätig ist, kann dies etwa dann geschehen, sofern der Dritte selbst Safe Harbor angehört. Die Art. 29 Gruppe möchte diese Voraussetzung grundsätzlich auf jeden Dritten erstrecken, also auch auf solche Stellen, die selbst Verantwortliche sind und nicht im Auftrag handeln. Zudem sollten Dritte, die im Auftrag handeln, verpflichtend einen Vertrag mit der übermittelnden Stelle abschließen müssen.

Fazit
Es wurden hier nur einige Vorschläge der Art. 29 Gruppe angesprochen. Viele dieser Vorschläge decken sich bereits mit denjenigen der Kommission, einige gehen darüber hinaus. Die Verhandlungen mit den USA scheinen derzeit konstruktiv zu verlaufen, wie Paul Nemitz, Direktor der Direktion C der Generaldirektion Justiz, kürzlich in einer Anhörung (PDF) durch das britische Oberhaus (House of Lords) zum Thema Safe Harbor berichtete.

TTIP und Datenschutz: Bundesregierung gegen Senkung der EU-Standards

Auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag (BT-Drs. 18/1056, PDF) mit dem Titel „EU-USA-Freihandelsabkommen und Datenschutz“, hat die Bundesregierung ihre Sichtweise zu einer möglichen Einbeziehung von Fragen des Datenschutzrechts in die Verhandlungen dargelegt.

Die Bundesregierung betont mehrmals, dass die geltenden EU-Datenschutzstandards im Rahmen des Freihandelsabkommens (TTIP) nicht abgesenkt werden dürfen. Allgemeine Fragen des Datenschutzrechts sollten vielmehr in den dafür bereits bestehenden oder geplanten speziellen Instrumenten verhandelt werden. In dem geplanten Datenschutzrahmenabkommen zwischen der EU und den USA zur Regelung der Datenübermittlung und -verarbeitung im Zusammenhang mit der polizeilichen und justiziellen Zusammenarbeit. Aber auch im Rahmen der Überarbeitung der Safe Harbor-Entscheidung (also zur Frage von Datenübermittlungen in die USA durch private Unternehmen) und bei der Fortentwicklung des EU-Datenschutzrechts (also der geplanten Datenschutz-Grundverordnung).

Vor allem Drittstaatentransfers und diesen zugrunde liegende Voraussetzungen dürften nicht durch mögliche Verhandlungen im Rahmen des TTIP beeinträchtigt werden.

Zudem stellt die Bundesregierung klar:

Allgemeine oder konkrete Datenschutzfragen sind gegenwärtig nicht Gegenstand der TTIP-Verhandlungen. Das hohe Datenschutzniveau in Europa steht nach Auffassung der Bundesregierung nicht zur Disposition.

Ob konkrete Datenschutzfragen, also vor allem für spezielle Bereiche, wie etwa den E-Commerce, wirklich nicht behandelt werden, mag man jedoch bezweifeln. Denn auf einer Informationsseite des Bundesministeriums für Wirtschaft und Energie zum TTIP (die meines Erachtens recht gut über das Thema informiert), wird zum Thema Datenschutz explizit festgestellt:

Auch Fragen des Datenschutzes beim Dienstleistungshandel, bei E-Commerce oder im IKT-Bereich werden mit dem Ziel einer gemeinsamen Verständigung angesprochen.

Völlig ausgeklammert scheinen daher Fragen des Datenschutzes nicht zu sein. Auch wenn man freilich nicht weiß, in welcher Tiefe das Datenschutzrecht hier behandelt und tatsächlich über Anpassungen nachgedacht wird.

Hat der EuGH die Cloud für tot erklärt?

In seinem gestrigen Urteil (Az. C?293/12 und C?594/12) zur Vereinbarkeit der Vorgaben der Richtlinie 2006/24 (VDS-RL, PDF) zur Vorratsdatenspeicherung, hat sich der EuGH naturgemäß mit den einzelnen Vorschriften zur Umsetzung der Richtlinie in nationalstaatliches Recht befasst. Die Richtlinie wurde, in ihrer jetzigen Ausformung, für nichtig erklärt (siehe hierzu die Urteilsbesprechung bei Hans Peter Lehofer), da die derzeit geltenden Vorgaben unverhältnismäßige Eingriffe in die europäischen Grundrechte auf Privatsphäre (Art. 7 Charta der Grundrechte der EU, Charta) und auf den Schutz personenbezogener Daten (Art. 8 Charta) zur Folge hätten. Bisher kaum Beachtung scheinen jedoch einige, meines Erachtens für das allgegenwärtige Cloud Computing wichtige, Ausführungen des Gerichts gefunden zu haben.

In seinem Urteil prüft der EuGH ab Rz. 56 die Verhältnismäßigkeit der Vorgaben der VDS-RL im engeren Sinne. Die dort erlaubten Eingriffe in Grundrechte müssen auf das absolut notwendige Maß beschränkt sein. In Rz. 65 kommt das Gericht zu dem Schluss:

Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Maßnahmen zur Datensicherheit
„Gut“, möchte man denken. Damit ist die Prüfung abgeschlossen. Doch das Gericht fügt seiner Begründung noch drei weitere Randziffern (66-68) an. In diesen befasst es sich, freilich zunächst auch mit Blick auf die VDS-RL, mit der Sicherheit und dem Schutz von gespeicherten Daten. Der EuGH stellt fest, die VDS-RL keine ausreichenden Bestimmungen enthalte, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind (Rz. 66).

Solche Vorgaben zum Schutz personenbezogener Daten und gerade auch in Bezug auf Maßnahmen zur Gewährung der Datensicherheit kennen wir aus der Datenschutz-Richtlinie, 95/46/EG (DS-RL, PDF). Dort bestimmt Art. 17 DS-RL entsprechende Pflichten für die verantwortliche Stelle. Im Falle einer Auftragsdatenverarbeitung, wenn also die tatsächlichen Verarbeitungsprozesse von einem Dritten wahrgenommen werden, bestimmt Art. 17 Abs. 2 DS-RL, dass die verantwortliche Stelle nur solche Auftragnehmer auswählen darf, die technische Sicherheitsmaßnahmen bereithalten. Zudem muss sich der Verantwortliche hiervon auch selbst überzeugen. Art. 17 Abs. 3 DS-RL bestimmt zudem, dass auch den Auftragsdatenverarbeiter selbst Pflichten zur Datensicherheit nach dem für ihn geltenden nationalen Datenschutzrecht treffen.

Cloud Computing
Diese Konstellation, die Datenverarbeitung durch einen Auftragnehmer, ist das typische Beispiel, welches den meisten Cloud Computing-Lösungen zugrunde liegt. Man nehme etwa den Anbieter eines Internet-Speicherdienstes: Der Anbieter der Cloud ist der Auftragsdatenverarbeiter (er selbst sitzt z. B. in den USA, seine Server stehen auf der ganzen Welt), der Kunde ist die verantwortliche Stelle (ob diese rechtliche Einschätzung in der heutigen Zeit noch angemessen erscheint, soll hier nicht diskutiert werden; sie ist nicht unumstritten, wird so aber etwa von der Art. 29 Datenschutzgruppe vertreten, siehe Stellungnahme WP 196, PDF).

Zurück zum Urteil des EuGH. Auch das Gericht verweist für erforderliche Sicherheitsmaßnahmen auf die Vorgaben des Art. 17 DS-RL (Rz. 67), deren Einhaltung, wir erinnern uns an das Beispiel, der Kunde des Speicherdienstes zu prüfen hätte und der Speicherdienst als Auftragnehmer auch selbst einsetzen müsste. Doch nun wird es interessant und relevant.

Datenspeicherung in Drittstaaten
Der EuGH kritisiert in Rz. 68, dass die VDS-RL im Rahmen der erforderlichen Sicherheitsmaßnahmen keine Vorgaben dazu macht, dass die Daten nur innerhalb des Unionsgebietes gespeichert werden dürfen. Hieraus folgert das Gericht, dass

es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird.

Der in dem Zitat angesprochene Art. 8 Abs. 3 Charta bestimmt, dass die Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch eine unabhängige Stelle überwacht werden müssen. In der Praxis sind dies in Europa die Datenschutzbehörden.

Was bedeutet diese Aussage nun? Der EuGH scheint der Auffassung zu sein, dass Daten, welche auf Servern in Drittstaaten gespeichert werden, nicht dem Schutzniveau des Art. 8 Charta entsprechend geschützt werden können. Dies deshalb, weil in dem jeweiligen Drittstaat möglicherweise keine unabhängige Stelle existiert, welche die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit überwacht. Nun mag man einwenden, dass es ja gerade für Fälle der Übermittlung von Daten in Drittstaaten etwa Standardvertragsklauseln gibt oder auch Angemessenheitsbeschlüsse der Kommission, die einem Drittstaat (oder einem gewissen Wirtschaftsbereich) ein angemessenes Schutzniveau bescheinigen. Auf diese Instrumente scheint das Gericht aber überhaupt nicht abzustellen. Sein Verweis bezieht sich vielmehr auf das Vorhandensein einer unabhängigen Stelle im Sinne des Art. 8 Abs. 3 Charta. Diese Überwachung durch unabhängige Datenschutzbehörden ist für den EuGH entscheidend.

Hiergegen mag man ins Feld führen, dass es ja auch in Drittstaaten unabhängige Behörden gibt, welche die Einhaltung des dortigen Datenschutzrechts überwachen. Doch auch diesbezüglich scheint der EuGH den Grundrechtsschutz des Art. 8 Charta äußerst streng zu nehmen, denn er führt aus:

Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Das Gericht knüpft das Erfordernis der Überwachung durch eine unabhängige Stelle an die „Grundlage des Unionsrechts“. Es mag also durchaus unabhängige Datenschutzbehörden in Drittstaaten geben. Diese überwachen die Einhaltung von Vorgaben zur Datensicherheit und zum Datenschutz jedoch grundsätzlich nicht auf Grundlage des Unionsrechts. Vielmehr gilt für diese Behörden ihr jeweils nationales Recht. Ebenso muss für europäische Datenschutzbehörden festgestellt werden, dass diese ihre Überwachungsmaßnahmen nicht in Drittstaaten ausdehnen können. Sie sind hinsichtlich ihrer öffentlich-rechtlichen Befugnisse vielmehr territorial beschränkt. Man könnte sich nun fragen, wann denn überhaupt eine Behörde auf der Grundlage des Unionsrechts die Einhaltung von Datenschutz- und Datensicherheitsstandards in einem Drittstaat wirksam überwachen kann?

Lösungen und Konsequenzen
Als einziger Ansatzpunkt würde mir einfallen, dass man z. B. Angemessenheitsbeschlüsse (wie etwa Safe Harbor) oder auch Standardvertragsklauseln als eine solche Grundlage des Unionsrechts ansieht, nach deren Vorgaben der Verarbeiter im Drittstaat handeln muss. Freilich wird hierdurch nicht das Problem gelöst, dass eine europäische Datenschutzbehörde nicht im Drittstaat hoheitlich tätig werden kann, also dort nicht direkt auf „Grundlage des Unionrechts“ überwachen kann.

Denn die Safe Harbor-Entscheidung, ebenso wie die Standardvertragsklauseln der EU sehen für Kontrollstellen die Möglichkeit vor, Datenübermittlungen in ein Drittland auszusetzen. Also gegen den Verantwortlichen in der EU vorzugehen. Dies jedoch nicht etwa dann, wenn die Behörde den Auftragnehmer in dem Drittstaat selbst kontrolliert und etwa Mängel bei der Datensicherheit festgestellt hat. Die Befugnisse der europäischen Behörden greifen dann, wenn feststeht, dass der Verarbeiter in dem Drittstaat die an ihn gestellten Vorgaben (sei es aus Vertragsklauseln oder Angemessenheitsbeschlüssen) nicht einhalten kann. Für Informationen hierzu ist die jeweilige europäische Behörde aber freilich auf Angaben Dritter angewiesen, also etwa von Behörden in dem Drittstaat oder des für die Datenverarbeitung Verantwortlichen selbst. Gut möglich, dass diese „mittelbare“ Überwachung ausreicht, um den Vorgaben des EuGH gerecht zu werden. Hierfür spricht meines Erachtens auch, dass der europäische Gesetzgeber die Datenschutz-Richtlinie mit entsprechenden Mechanismen zur Übermittlung und Speicherung von Daten in Drittstaaten ausgestaltet hat. Wohl wissend, dass nationale Behörden dann nur begrenzte Prüfmöglichkeiten besitzen. Und auch der EuGH selbst hat etwa in seinem Lindqvist-Urteil (Az. C-101/01) darauf hingewiesen, dass für die Mitgliedstaaten und die Kommission gewisse Pflichten zur Kontrolle solcher Datenübermittlungen bestehen (Rz. 63 ff.). Jedoch hat er diese Übermittlung nicht kategorisch ausgeschlossen oder von einer direkten Einflussnahmemöglichkeit europäischer Behörden abhängig gemacht (auch wenn die Frage der Voraussetzungen der Datenübermittlung dort nicht direkt Gegenstand der gerichtlichen Prüfung war und daher nicht vertieft wurde). Dennoch verbleibt ein gewisses Unwohlsein, welches sich vor allem aus der Deutlichkeit der Aussage des EuGH ergibt.

Ausblick
Die Ausführungen des EuGH zur Datenspeicherung in Drittstaaten sind durchaus bemerkenswert. Dies gerade vor dem Hintergrund der anhaltenden Diskussion um ein „Schengen-Routing“ und dem sog. Datenprotektionismus in Folge der Enthüllungen um die Überwachungstätigkeiten von Geheimdiensten. Wie dargestellt liegt die Konstellation der Speicherung von Daten in Drittstaaten vor allem auch dem Cloud Computing zugrunde. Ist die Cloud deshalb tot? Ich denke nicht. Denn die Ausführungen des EuGH sind dafür wohl von zu allgemeiner Natur. Dennoch stellen sich Fragen: Sollte eine Speicherung von personenbezogenen Daten in Ländern außerhalb der EU nun (unabhängig von der rechtlichen Grundlage der Übermittlung) nicht mehr möglich sein? Oder etwa nur wenn sich der Datenverarbeiter behördlichen Maßnahmen europäischer Stellen freiwillig unterwirft? Reicht die beschriebene „mittelbare“ Überwachungsmöglichkeit und dem folgend etwa Maßnahmen gegen den Verantwortlichen in der EU aus? Sollte dem nicht so sein, dann wäre dies ein Schritt zurück, hinter die Intention der geltenden DS-RL und würde der digitalen Wirtschaft und damit auch unserem täglichen Umgang mit Internetdiensten einen Bärendienst erweisen.

Handelsvertreter der USA kritisiert Pläne zum „Schengen“-Routing

Der Handelsvertreter der Vereinigten Staaten von Amerika (United States Trade Representative) hat sich in einem am 4. April vorgestellten Bericht zu Handelsschranken im Bereich der Telekommunikation (PDF) gegen Pläne in der Europäischen Union ausgesprochen, das sog. „Schengen“-Routing für Daten voranzutreiben. Dabei geht es bekanntlich um die Idee, Datenpakete, die als Start- und Zielpunkt europäische IP-Adressen besitzen, nicht über andere Länder außerhalb der EU zu transportieren. Öffentlichkeitswirksam stellt sich vor allem die Deutsche Telekom hinter diese Pläne. Auch die Politik hatte sich dem Thema bereits angenommen.

In seinem Bericht kritisiert der amerikanische Handelsvertreter (der in der Regierung von Präsident Obama Mitglied von Kabinettsrang ist), dass solche europäischen Datennetzwerke möglicherweise zu einem tatsächlichen Ausschluss oder einer Ungleichbehandlung gegenüber ausländischen Diensteanbietern führen können.

Der Handelsvertreter bezieht sich in seinen Anmerkungen auch direkt auf die Deutsche Telekom, die ein „Schengen“-Routing vor allem mit Verweis auf den Datenschutz begründe und zudem die Aufhebung der Safe Harbor Entscheidung der Europäischen Kommission fordere. Amerika und Europa teilten in Bezug auf den Schutz personenbezogener Daten dieselben Interessen. Die von der Deutschen Telekom und anderen Vertretern vorgeschlagene „drakonische Herangehensweise“ an dieses Thema stellt aus der Sicht des Handelsvertreters jedoch nichts anderes dar, als protektionistische Vorteile für Telekommunikationsanbieter, die ihren Sitz der Europa haben.

Das „Schengen“-Routing behindert aus Sicht des Handelsvertreters mögliche Innovationen und könnte gerade ausländische Anbieter davon abhalten, ihre Dienste in Europa anzubieten. Zudem stelle sich bei einem solchen verpflichtenden innereuropäischen Routing die Frage nach der Einhaltung von internationalen Handelsverpflichtungen der Europäischen Union in Bezug auf internetbasierte Diensten.

Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

Datenschutz und NSA: Bundesregierung beantwortet Fragen zur Datenübermittlung in die USA

Die Bundesregierung hat vergangene Woche eine kleine Anfrage der Fraktion DIE LINKE im Deutschen Bundestag beantwortet (BT-Drs. 18/321). Titel der Anfrage ist „Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister
mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund des NSA-Skandals“. Grund für die Anfrage waren Presseberichte, nach denen die Allianz SE ihre Rechenzentren auslagern und an das amerikanische IT-Unternehmen IBM übergeben möchte. Vor dem Hintergrund der Enthüllungen um den möglicherweise unverhältnismäßigen Zugriff amerikanischer Geheimdienste auf Daten europäischer Bürge bei amerikanischen Unternehmen, wollte DIE LINKE genauer wissen, wie die Bundesregierung hierzu steht. Ich möchte im Folgenden nur einige der behandelten Fragen und Antworten ansprechen.

Auftragsdatenverarbeitung
Zunächst geht die Bundesregierung auf die grundsätzlichen Anforderungen einer Auftragsdatenverarbeitung nach § 11 BDSG ein und weist darauf hin, dass in diesem Rahmen der Verantwortliche (Auftraggeber) bereits vor der Datenverarbeitung gewisse Prüfpflichten in Bezug auf den IT-Dienstleister besitzt. Sehr anschaulich hierzu ist im Übrigen das Informationsblatt des bayerischen Landesamtes für Datenschutzaufsicht.

Datenübermittlung in Drittländer
Auch wenn der Auftragnehmer nicht in der EU bzw. dem EWR, sondern in einem Drittstaat sitzt, bleibt der Auftraggeber in der EU verantwortlich. Die Bundesregierung stellt klar, dass auch bei einer Drittstaatenübermittlung die Anforderungen des § 11 BDSG (zumindest entsprechend) erfüllt sein müssen, was insofern wohl der Auffassung der deutschen Datenschutzbehörden entspricht. Zudem weist die Bundesregierung auf die zusätzlichen Voraussetzungen für einen Datentransfer in ein Drittland hin. Ein solcher ist verboten, wenn in dem Drittland keine angemessen Garantien für den Schutz der Daten bestehen, wie etwa in den USA.

Safe Harbor
Die Bundesregierung geht danach auf die Möglichkeit der Datenübermittlung in die USA unter der Safe Harbor-Entscheidung der EU Kommission ein. Diese habe für europäische Unternehmen, die personenbezogene Daten an in den USA tätige Firmen übermitteln, den Vorteil, dass sie keine zusätzlichen Garantien verlangen müssen. Öffentlich Stellung nehmen, zu der Ansicht des Landesdatenschutzbeauftragten von Schleswig-Holstein, Thilo Weichert, dass es „Riskant und unverantwortlich“ sei, die Daten einem US-Konzern anzuvertrauen, möchte die Bundesregierung mit Blick auf die unabhängige Aufgabenerfüllung der Datenschutzaufsichtsbehörden nicht.

Kooperation zwischen NSA und BND
Auf die Frage, ob „deutsche Geheimdienste von der NSA Daten deutscher Finanzdienstleistungsunternehmen erhalten“ haben, möchte die Bundesregierung nicht öffentlich antworten. „Ein Verstoß gegen die in diesem Zusammenhang vorausgesetzte Vertraulichkeit ließe negative Folgewirkungen für die Quantität und Qualität des Informationsaustausches befürchten“. Ausdrücklich geht die Bundesregierung jedoch davon aus, dass

“ein Zugriff der NSA in Kooperation mit entsprechenden IT-Dienstleistern auf Daten deutscher Finanzdienstleistungsunternehmen [ist] theoretisch nicht auszuschließen“ ist. „Allerdings dürfte ein solcher Zugriff regelmäßig rechtswidrig sein“.

Datenschutz-Grundverordnung und Safe Harbor
Die Bundesregierung gibt, mit Blick auf möglich Verstöße gegen die Safe Harbor-Entscheidung durch amerikanische Unternehmen, an, dass „gesetzliche Kontrollmöglichkeiten gemeinsam mit amerikanischen Behörden“ derzeit nicht bestehen. Deutschland setze sich zudem weiter dafür ein, dass der Schutz der Bürgerinnen und Bürger bei Drittstaatenübermittlungen
deutlich verbessert wird. Insbesondere in Bezug auf Safe Harbor möchte die Bundesregierung tätig werden und ist dies auch bereits. Mit Blick auf die europäische Datenschutzreform und die geplante Datenschutz-Grundverordnung weist sie darauf hin, dass für Modelle wie Safe Harbor „in der neuen europäischen Datenschutz-Grundverordnung ein robuster Rechtsrahmen mit klaren Vorgaben für Garantien der Bürgerinnen und Bürger geschaffen werden“ sollte. Zudem führt die Bundesregierung drei konkrete Verbesserungsvorschläge an:

Ziel sollte es insbesondere sein, die Individualrechte der Bürgerinnen und Bürger zu stärken und ihnen bessere Rechtsschutzmöglichkeiten zur Verfügung zu stellen, die Registrierung der US-Unternehmen in der EU vorzunehmen und die staatliche Kontrolle seitens der EU-Datenschutzaufsichtsbehörden in Modellen wie Safe Harbor zu stärken.

Interessant sind dabei insbesondere die letzten beiden Vorschläge. Denn bisher müssen sich amerikanische Unternehmen in Amerika bei dem dafür zuständigen Handelsministerium registrieren. Zum anderen lässt der Vorschlag einer Stärkung der Kontrollbefugnisse der europäischen Behörden aufhorchen. Denn bisher war es die Federal Trade Commission (FTC) in den USA, die wegen einer Verletzung der Safe Harbor-Grundsätze in Amerika tätig wurde.

Fazit
Die Antwort der Bundesregierung ist im Hinblick auf die Reformen zur Datenschutz-Grundverordnung und Safe Harbor durchaus interessant. Die Stärkung der Rechtsschutzmöglichkeiten der Betroffenen ist im Übrigen auch ein zentrales Anliegen der Europäischen Kommission, welche Ende letzten Jahres den USA in einer Mitteilung 13 notwendige Vorschläge zur Verbesserung von Safe Harbor gemacht hat.

Datenübermittlungen in Drittstaaten – Datenschutzsiegel als neue Grundlage?

Datenübermittlungen aus Europa in Drittstaaten, also solche Länder außerhalb der EU bzw. des EWR, sind im internationalen Wirtschaftsbereich ein wichtiges Thema. Damit personenbezogene Daten in ein Drittland übertragen werden dürfen, muss dort grundsätzlich ein angemessenes Schutzniveau bestehen (Stichwort: Safe Harbor).

Die geplante Datenschutz-Grundverordnung will an den bestehenden Möglichkeiten der Übermittlung und der nötigen Sicherstellung des entsprechenden Schutzniveaus (etwa durch Binding Corporate Rules, Standardvertragsklauseln oder Angemessenheitsbeschlüsse der Kommission) grundsätzlich festhalten. Der Bericht des LIBE-Ausschusses im Europäischen Parlament schlägt aber zudem eine interessante weitere Möglichkeit für Übermittlungen vor: die Erteilung von Datenschutzsiegeln durch Aufsichtsbehörden.

Für den Newsletter der Berliner Datenschtzrunde habe ich in einem Gastbeitrag etwas näher zu dieser vorgeschlagenen Neuerung Stellung genommen. Der Beitrag ist auch online abrufbar.

EU Kommission fordert Anpassung von Safe Harbor

Die Europäische Kommission hat heute ihre im Juli angekündigte Einschätzung zur Zukunft der Safe Harbor Entscheidung, auf deren Grundlage ein Großteil der Datenströme privater Unternehmen zwischen Europa und den USA beruhen, vorgestellt. Dies ist Teil eines ganzen Maßnahmenpakets: ein generelles Dokument, „Rebuilding trust in EU-US data flows“ welches sich nicht allein auf Safe Harbor bezieht, sondern auf den transatlantischen Datenaustausch und dessen Zukunft insgesamt. Sowie eine eingehendere Untersuchung von Safe Harbor, „Communication on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“ (beide Dokumente stehen derzeit jedoch noch nicht in der endgültigen Version bereit).
Nachfolgend soll das Augenmerk jedoch vor allem auf den Implikationen für die Safe Harbor Entscheidung liegen.
Continue reading