UN-Wirtschaftskommission für Europa: Datenschutz- und IT-Sicherheitsstandards für vernetzte Fahrzeuge

Eine informelle Arbeitsgruppe der Wirtschaftskommission für Europa der Vereinten Nationen (kurz UNECE), die u.a. Vorschläge und Vorlagen für ECE-Regelungen für Kraftfahrzeuge entwickelt, hat einen Vorschlag für Leitlinien zur IT-/Netz-Sicherheit und zum Datenschutz bei vernetzten Fahrzeugen und Kraftfahrzeugen mit automatisierten Fahrfunktionen veröffentlicht („Proposal for draft guidelines on cyber security and data protection“, PDF).

Die Vorschläge, die im März 2017 bei der Sitzung des UN/ECE-Weltforums für die Harmonisierung der Regelungen für Kraftfahrzeuge angenommen werden sollen, sind von besonderer Relevanz, da hierdurch einheitliche internationale Vorgaben zur IT-Sicherheit und zum Datenschutz bei intelligenten Fahrzeugen eingeführt werden könnten.

In dem Entwurf wird einleitend auf die Notwendigkeit klarer Vorgaben zur IT-Sicherheit und zum Datenschutz in vernetzten Fahrzeugen und solchen mit automatisierten Fahrfunktionen hingewiesen. Es müsse sichergestellt werden, dass Fahrzeuge vor äußeren Störungen und Manipulationen geschützt sind.

Die Leitlinien sollen für Fahrzeughersteller, System- und Teilezulieferer und Anbieter von Diensten, die auf den Fahrzeugsystemen installiert werden, gelten und diesen Vorgaben machen, um ein hohes IT-Sicherheitsniveau zu erreichen. Zudem sollen diese Leitlinien als Grundlage für die Entwicklung von Vorgaben in UN-Richtlinien dienen.

Wichtig ist zudem der Hinweis, dass die Leitlinien keinen Einfluss auf geltendes Datenschutzrecht haben. Die Vorgaben gliedern sich in vier Themenkomplexe, die ein vernetztes Fahrzeug bzw. ein solches mit automatisierten Fahrfunktionen jeweils erfüllen muss:

-          Allgemeine Vorgaben.

-          Datenschutz.

-          Safety (iSv „Betriebssicherheit“).

-          Security (iSv „Angriffssicherheit“).

Generell dürfen personenbezogene Daten in Fahrzeugen nur auf rechtlich zulässige und insbesondere transparente Weise verarbeitet werden. Das Datenschutzrecht ist also zu beachten. Fahrzeughersteller, System- und Teilezulieferer sowie Diensteanbeiter sollen die Prinzipien „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Privacy by Default) beachten. Bereits auf der Ebene der Fertigung von Komponenten für vernetzte Fahrzeuge soll also der Datenschutz Beachtung finden. Diese Prinzipien finden sich etwa auch in der ab Mai 2018 unmittelbar anwendbaren EU Datenschutz-Grundverordnung. Zudem sollen die benannten Akteure sicherstellen, dass Datenverbindungen und –kommunikation nur verschlüsselt erfolgen.

Betroffene Personen sollen umfassend und klar darüber informiert werden, welche Daten von ihnen verarbeitet werden und für welche Zwecke dies geschieht. Dem Grundsatz der Datensparsamkeit folgend, sollen nur soviele Daten erhoben werden, wie für den konkreten Zweck erforderlich sind.

Auf Betriebssicherheitsebene sollen Standards, wie etwa ISO 26262, angewendet werden. Zudem werden gewisse Vorgaben an die Datenverbindung und –kommunikation selbst gemacht. Diese dürfen nicht andere Systeme beeinflussen, die Informationen erzeigen, die für die Kontrolle eines Fahrzeugs erforderlich sind. Zudem sollen die Verbindungen derart beschaffen sein, dass falsche Zugriffe oder auch Manipulationen am System über diese Verbindungen nicht möglich sind.

Zur erforderlichen Angriffssicherheit der Fahrzeuge und Systeme wird die Anforderung aufgestellt, dass Sicherheitsstandards, wie etwa nach ISO 27000 und ISO/IEC 15408, umgesetzt werden sollen. Zudem sollen vernetzte Fahrzeuge etwa mit der Fähigkeit ausgestattet sein, kryptographische Schlüssel verwalten zu können.

Man darf gespannt sein, in welcher Form diese Leitlinien am Ende durch das UN/ECE-Weltforum für die Harmonisierung der Regelungen für Kraftfahrzeuge beschlossen werden und in Zukunft die Mindeststandards für intelligente Fahrzeuge darstellen könnten. Auffällig ist, dass die vorgeschlagenen Maßnahmen oder Prinzipien inhaltlich nicht neu sind und mit Blick auf EU-Gesetze wie die Datenschutz-Grundverordnung oder den Vorschlag für die ePrivacy-Verordnung, viele gesetzliche Vorgaben aufnehmen. Klar ist jedoch: ohne Maßnahmen zur IT-Sicherheit und zum Datenschutz geht es nicht mehr.

Datenschutz nach dem Brexit: Vereinigtes Königreich strebt Angemessenheitsbeschluss der EU-Kommission an

Die britische Regierung hat ein Weißbuch für den Plan zum Austritt aus der Europäischen Union veröffentlicht (pdf, Stand: Februar 2017). In dem Weißbuch wird auch knapp das Thema „Datenschutz“ gestreift (S. 45).

In dem Weißbuch erkennt die britische Regierung den besonderen Stellenwert eines Datentransfers für viele Wirtschaftssektoren an. Solange das Vereinigte Königreich noch Teil der Europäischen Union ist, existieren auch keine anderen datenschutzrechtlichen Anforderungen für Unternehmen, wenn diese etwa personenbezogene Daten mit einem Dienstleister in England austauschen möchten, als wenn sie einen Dienstleister im eigenen EU-Mitgliedstaat wählen würden.

Jedoch wird sich datenschutzrechtlich der Status des Vereinigten Königreichs nach dem Brexit ändern: in ein sog. Drittland. An Datentransfers in diese Länder bestehen bekanntlich höhere datenschutzrechtliche Anforderungen. Grundsätzlich dürfen derzeit und auch unter der Datenschutz-Grundverordnung, keine personenbezogene Daten aus der EU in Drittländer übermittelt werden, die nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen oder ein anderes besonderes Instrument, wie etwa die EU-Standardvertragsklauseln oder gesetzliche Ausnahmen, nutzen.

Die Angemessenheit des Datenschutzniveaus in einem Drittland wird durch die Europäische Kommission geprüft und bestätigt. Ein Beispiel hierfür ist etwa der Beschluss zum EU-US Datenschutzschild.

Laut dem Weißbuch möchte auch die britische Regierung in Zukunft wohl in den Genuss eines Angemessenheitsbeschlusses der Kommission kommen. Zumindest wird darauf hingewiesen, dass der Kommission diese Befugnis zusteht und die britische Regierung alles dafür tun werde, um die Beständigkeit von Datentransfers zwischen EU-Mitgliedstaaten und dem Vereinigten Königreich zu sichern.

Ob jedoch ein solcher Angemessenheitsbeschluss der Kommission so einfach erlassen wird, darüber kann man zumindest diskutieren. Dies mag verwundern, da das Vereinigte Königreich ja derzeit als Mitgliedstaat der EU qua Gesetz (der Richtlinie 95/46/EG) ein angemessenes Niveau bietet und man hinterfragen könnte, was sich denn groß ändert, wenn doch das nationale Datenschutzrecht wie bisher auch nach dem Brexit erhalten bleibt. Der Grund für eine kritische Diskussion über den Erfolg eines Angemessenheitsbeschlusses findet man jedoch in dem Konstrukt der Kompetenzen der EU. Das europäische Datenschutzrecht und allgemein die EU hat keine Wirkung bzw. keine Befugnis auf dem Gebiet der nationalen Sicherheit, insbesondere der Tätigkeit der Geheimdienste. Selbst wenn man also derzeit die Tätigkeit des britischen GCHQ kritisiert, ändert dies nichts daran, dass im Vereinigten Königreich per se ein angemessenes Datenschutzniveau existiert. Soll die Kommission jedoch das Schutzniveau im Vereinigten Königreich nach dem Brexit prüfen, so sind von dieser Prüfung auch die Tätigkeiten der Sicherheitsbehörden, deren Datenverarbeitungsmaßnahmen und entsprechende Schutzmaßnahmen für EU-Bürger umfasst (vgl. etwa das Urteil des EuGH zu Safe Harbor, C?362/14, Rz. 88). Das Vereinigte Königreich ist in diesem Moment ein Drittland und die Kommission darf (und muss) dann im Rahmen ihrer Kompetenz das Schutzniveau für personenbezogene Daten in Gänze prüfen.

Man darf also auf die Prüfung durch die Kommission gespannt sein.

Like-Button vor dem EuGH: OLG Düsseldorf möchte wissen, wer verantwortlich ist

Im Verfahren zwischen der Verbrauchzentrale Nordrhein-Westfalen (VZNRW) und der Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) zur datenschutzrechtlichen Zulässigkeit der Einbindung des Facebook Like-Buttons auf einer Webseite, hat das OLD Düsseldorf das Verfahren ausgesetzt und dem EuGH mehrere interessante Datenschutzfragen vorgelegt (Beschluss vom 19.01.2017 – I-20 U 40/16; derzeit leider noch nicht frei zugänglich). Die Vorinstanz, das LG Düsseldorf, hatte Fashion ID u.a. dazu verurteilt, die Einwilligung von Webseitenbesuchern einzuholen, bevor über das Plugin die IP-Adresse der Besucher an Facebook übermittelt wird (Urt. v.  09.03.2016 – 12 O 151/15; hier mein Blogbeitrag zu dem Urteil).

Facebook ist dem dem Rechtsstreit auf Seiten der Beklagten beigetreten. Das OLG Düsseldorf legt dem EuGH mehrere interessante Fragen zur Auslegung der geltenden EU-Datenschutzrichtlinie (RL 95/46/EG) vor.

Zunächst möchte das Gericht aber einmal wissen, ob denn die VZNRW überhaupt klagebfugt ist. Das LG Düsseldorf hatte dies noch, auf der Grundlage von § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvorschriften. Fashion ID argumentiert, dass dieses Verständnis nicht in Einklang mit der RL 95/46/EG stehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle insoweit eine abschließende Regelung dar. Interessant ist diese Vorlagefrage vor allem mit Blick auf das (nicht mehr ganz) neue Verbandsklagerecht in Deutschland. Das OLG Düsseldorf lässt in seinem Beschluss  erkennen, dass es davon ausgeht, dass eine solche Verbandsklagebefugnis der RL 95/46/EG nicht entgegensteht.

Natürlich möchte das OLG dann wissen, ob der Webseitenbetreiber, der das Plugin (also Code) einbindet, datenschutzrechtlich die „verantwortliche Stelle“ ist. Hier tendiert das OLG in seiner Begründung dazu, diese Verantwortlichkeit abzulehnen und verweist dazu auch auf den Vorlagebeschluss des BVerwG zu dem ebenfalls beim EuGH anhängigen Verfahren zu Facebook Fanpages.

Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Das OLG Düsseldorf führt dazu richtigerweise aus, dass die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“ praktisch datenschutzrechtlich eine derartige Einbindung unmöglich mache. Denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Interessant ist dann die Anschlussfrage des OLG, wenn keine datenschutzrechtliche Verantwortlichkeit angenommen wird. Man könnte dann nämlich über eine (m.E. abzulehnende Anwendung der Figur des „Störers“) nachdenken. Insofern stellt sich dann die Frage, ob Art. 2 Buchst. d) RL 95/46/EG insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.

Wie auch das Vorlageverfahren des BVerwG (C-210/16), so ist auch dieses Verfahren von praktischer Relevanz. Im hiesigen Verfahren am OLG insofern eventuell in einer noch gesteigerten Form, da in der Praxis sowohl auf Webseiten und in Apps massenweise tagtäglich Plugins eingebunden werden. Eine datenschutzrechtliche Klärung ist daher zu begrüßen. Eventuell muss man sich aber mit dem Gedanken anfreunden, dass ein Urteil des EuGH erst nach dem 25. Mai 2018 und damit erst dann gefällt wird, wenn die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und die RL 95/46/EG nicht mehr existiert. Nichtsdestotrotz ist die Frage nach der datenschutzrechtlichen Verantwortlichkeit und auch ein möglicher Rückgriff auf die Figur der Störerhaftung auch unter der DSGVO relevant.

Privacy Shield: Europäische Datenschützer veröffentlichen Leitfaden für Unternehmen

Die Art. 29 Datenschutzgruppe, die Versammlung der nationalen Datenschutzbehörden, hat am 13. Dezember 2016 ein Papier mit Fragen und Antworten (FAQ) zur praktischen Handhabe des EU-US Datenschutzschildes (Privacy Shield) für europäische Unternehmen veröffentlicht (pdf).

Unter anderem geben die europäischen Datenschützer darüber Auskunft, was ein europäisches Unternehmen zu beachten hat, bevor es personenbezogenen Daten an ein US-Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist.

Prüfung der Zertifizierung und umfasster Datenkategorien

Zum einen müssen sich europäische Unternehmen vergewissern, dass das US-Unternehmen eine aktive Zertifizierung besitzt und zum anderen, dass diese Zertifizierung auch die der geplanten Übermittlung zu Grunde liegenden Daten (eine wichtige Unterscheidung besteht hier zwischen Daten von Mitarbeitern und anderen personenbezogenen Daten) umfasst. Um diese Prüfung vorzunehmen, müssen europäische Unternehmen die Zertifizierung des jeweiligen amerikanischen Unternehmens auf der Webseite des US-Handelsministeriums verifizieren: https://www.privacyshield.gov/welcome

Sollte ein amerikanisches Unternehmen nicht in dieser Liste verzeichnet sein, bestehen dennoch Möglichkeiten, personenbezogene Daten an dieses Unternehmen zu übertragen. Hierauf weisen die europäischen Datenschützer auch ausdrücklich in ihrer Leitlinie hin. Insbesondere können die EU-Standardvertragsklauseln zum Einsatz kommen.

Amerikanisches Unternehmen als Verantwortlicher

Werden personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches in der Rolle eines datenschutzrechtlich Verantwortlichen („controller“) agiert, muss das europäische Unternehmen dafür Sorge tragen, dass für den Verarbeitungsvorgang der Übermittlung europäisches Datenschutzrecht eingehalten wird. Insbesondere bedeutet dies, dass für die Übermittlung ein Erlaubnistatbestand (etwa eine Einwilligung oder ein Vertrag) vorhanden sein muss. Zudem weisen die europäischen Datenschützer darauf hin, dass auch alle übrigen Voraussetzungen für eine zulässige Datenverarbeitung erfüllt sein müssen, wie etwa die Erfüllung von Informationspflichten und das Prinzip der Zweckbindung.

Nach Auffassung der europäischen Datenschützer muss ein europäisches Unternehmen, wenn es personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist, betroffene Personen über die Identität der jeweiligen Datenempfänger und über die Tatsache, dass die übermittelten personenbezogenen Daten unter dem Schutz des Privacy Shield übermittelt werden, informieren. Ob ein europäisches Unternehmen jedoch tatsächlich über die konkrete Identität eines amerikanischen Unternehmens als Empfänger von Daten informieren muss, lässt sich meines Erachtens hinterfragen. So erfordert Art. 10 EU-Datenschutzrichtlinie, dass über die Empfänger oder Kategorien der Empfänger der Daten zu informieren ist. Auch die Information über Kategorien ist also ausreichend. Eine andere Frage ist freilich, ob das amerikanische Unternehmen selbst dazu verpflichtet ist, die betroffenen Personen zu informieren. Eine solche Pflicht besteht nach den Datenschutzgrundsätzen des Privacy Shield (Anhang II, II. Grundsätze, Ziffer 1.).

Amerikanisches Unternehmen als Auftragsverarbeiter

Von besonderem Interesse für europäische Unternehmen dürften zudem die Leitlinien der europäischen Datenschützer für Situationen sein, in denen das amerikanische Unternehmen als Auftragsverarbeiter („processor“) agiert. In einem solchen Fall sind beide Unternehmen dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen. Dieser Hinweis, der sich auf Art. 17 EU-Datenschutzrichtlinie stützt, ist wichtig. Denn dies bedeutet, dass etwa ein deutsches Unternehmen nicht einfach personenbezogene Daten an ein amerikanisches Unternehmen, welches unter dem Privacy Shield zertifiziert ist, übermitteln darf, wenn dieses Unternehmen als Auftragsverarbeiter agiert. Zusätzlich ist vielmehr der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich. Diese Voraussetzung gilt im Übrigen auch unabhängig davon, ob das empfangende Unternehmen unter dem Privacy Shield zertifiziert ist.

Die europäischen Datenschützer weisen in ihren Leitlinien zudem darauf hin, dass jeweiliges nationales Datenschutzrecht noch zusätzliche Anforderungen an diesen Vertrag aufstellen kann. Grundsätzlich empfehlen die europäischen Datenschützer zudem, dass ein europäisches Unternehmen in einem solchen Vertrag festlegt, ob es mit einer Einschaltung von Unterauftragsverarbeitern durch das amerikanische Unternehmen einverstanden ist oder nicht.

Internationale Datentransfers: EU Kommission ändert Angemessenheitsbeschlüsse und Standardvertragsklauseln

Gestern habe ich hier im Blog noch darüber berichtet, dass die geltenden Angemessenheitsbeschlüsse für das Schutzniveau personenbezogener Daten in Drittstaaten als auch die Beschlüsse zu den geltenden EU Standardvertragsklauseln überarbeitet wurden und die europäischen Datenschützer (Art. 29 Datenschutzgruppe) im Rahmen dieser Überarbeitung eine interessante Stellungnahme abgegeben haben.

Nun wurde ich darauf aufmerksam gemacht, dass die finalen Durchführungsbeschlüsse der Kommission am 17. Dezember 2016 im Amtsblatt der Europäischen Union veröffentlicht wurden. Zur Änderung der Beschlüsse über die Standardvertragsklauseln und zur Änderung der Beschlüsse über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern.

Die an den geltenden Beschlüssen vorgenommenen Ergänzungen betreffen jeweils Artikel, die sich mit den Befugnissen der nationalen Datenschutzbehörden befassen.

In den Beschlüssen zu den Standardvertragsklauseln wird jeweils Artikel 4 angepasst. Die Ausübung der Befugnisse der Datenschutzbehörden, insbesondere im Fall einer Untersagung eines Datentransfers in einen Drittstaat, wird nun nicht mehr von bestimmten Voraussetzungen abhängig gemacht, die erfüllt sein müssen, bevor die Befugnis ausgeübt werden kann. In seinem Schrems-Urteil hatte der Europäische Gerichtshof diese Beschränkung der Befugnisse der nationalen Behörden kritisiert und die Safe Harbor-Entscheidung unter anderem aus diesem Grund für ungültig erklärt. Nach den neuen Artikeln 4 müssen die Mitgliedstaaten die Europäische Kommission nun nur noch informieren, wenn eine Aufsichtsbehörde einen Datentransfer, der auf der Grundlage von Standardvertragsklauseln stattfindet, untersagt.

Wichtig, insbesondere für die Praxis, dürfte der Hinweis sein, dass der Text der Standardvertragsklauseln selbst, also jener Teil der Beschlüsse der Kommission, der von den Parteien, die Daten austauschen, zu unterzeichnen ist, nicht abgeändert wird. Die Änderungen beziehen sich nicht auf den Vertrag selbst, sondern auf das dahinterliegende System der Überwachung, Prüfung und Durchsetzung der europäischen Regelungen durch die nationalen Behörden.

Eine solche angepasste Regelung findet sich nun auch in den jeweiligen Angemessenheitsentscheidung der Kommission zum Schutzniveau in Drittstaaten. Dort wird jeweils Artikel 3 angepasst. Zudem wird jedoch in einem neuen Artikel 3a die Kommission dazu verpflichtet, die Entwicklungen in der Rechtsordnung des jeweiligen Drittstaates laufend zu überwachen, die die Funktionsweise der jeweiligen Angemessenheitsentscheidung beeinträchtigten könnten. Zudem werden die Kommission aber auch die Mitgliedstaaten dazu verpflichtet, sich gegenseitig zu unterrichten, wenn Anhaltspunkte dafür vorliegen, dass Eingriffe der Behörden des jeweiligen Drittstaates in das Recht von Privatpersonen den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen in den Drittstaat besteht.

Europäische Datenschützer: Geltende Angemessenheitsbeschlüsse für Drittstaaten wohl ungültig

Wie hier im Blog berichtet, werden derzeit sowohl die geltenden Angemessenheitsentscheidungen der Europäischen Kommission für das Schutzniveau in Drittstaaten als auch die Beschlüsse zu den geltenden EU-Standardvertragsklauseln überarbeitet. Hintergrund dieser Anpassungen ist das Urteil des EuGH im Fall Schrems (C-362/14).

Dieser Prozess scheint dem Grunde nach bereits abgeschlossen zu sein. Denn im zuständigen Art. 31 Ausschuss haben die Mitgliedstaaten schon über die Entwürfe zur Anpassung der geltenden Beschlüsse (positiv) abgestimmt. Leider sind die neu gefassten Beschlüsse immer noch nicht veröffentlicht. Mir selbst liegen nur die Entwürfe vor, über die im Art. 31 Ausschuss abgestimmt wurde, die dann aber wieder von der Webseite entfernt wurden. Über die Ergänzungen in den jeweiligen Beschlüssen habe ich hier berichtet.

Im Zuge der Beratungen zu den Änderungen an den geltenden Beschlüssen wurde auch die Art. 29 Datenschutzgruppe um eine Stellungnahme gebeten. Diese Stellungnahme ist hier abrufbar (pdf).

Zunächst kritisieren die Datenschützer die sehr kurz bemessene Frist, in der sie zu den Änderungen der Beschlüsse Stellung nehmen sollen. Dies vor allem aus dem Grund, weil die Änderungen die Rechte der Datenschutzbehörden betreffen.

Danach weisen die Datenschützer darauf hin, dass die Kommission mit den Anpassungen den Zweck verfolge, die Vorgaben des EuGH im Schrems-Urteil vollständig umzusetzen. Jedoch bemängeln die Datenschützer, dass die vorgeschlagenen Änderungen gerade keine vollständige Umsetzung der Kritik des EuGH darstellen. Zwar sollen die Befugnisse der Behörden zur Untersagung von Datentransfers nun nicht mehr von bestimmten Bedingungen abhängig gemacht werden. Dies war jedoch nur ein Grund, warum der EuGH die Safe Harbor-Entscheidung für ungültig erklärte.

Daneben wurde die Entscheidung gerade auch deshalb aufgehoben, weil die Kommission keine Feststellungen dazu traf, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Die Datenschützer weisen darauf hin, dass diese erforderlichen Feststellungen ebenfalls nicht in anderen, derzeit gültigen, Angemessenheitsentscheidungen für Drittstaaten wie die Schweiz, Kanada oder Israel enthalten sind und diese Entscheidungen daher wohl nicht die Anforderungen des EuGH erfüllen und in der Konsequenz, falls sie angefochten werden würden, wohl auch für ungültig erklärt werden könnten.

The assessment made by the Commission as to the compliance with this requirement does not seem sufficient to meet the requirements stated by the CJEU in the Case C-362/147 and could jeopardize their legal validity possibly leading to a referral to a competent Court.

Die Art. 29 Gruppe fordert die Kommission daher auf, die erforderlichen Feststellungen für die betreffenden Drittländer so schnell wie möglich vorzunehmen.

Europäische Datenschützer: Rolle des Datenschutzbeauftragten in der Datenschutz-Grundverordnung

Die Art. 29 Datenschutzgruppe, der Zusammenschluss der nationalen Datenschutzbehörden in Europa, hat einen Leitfaden zu der Figur des Datenschutzbeauftragten in der ab Mai 2018 anwendbaren Datenschutz Grundverordnung beschlossen und veröffentlicht (pdf).

Die europäischen Datenschützer werden in Zukunft weitere Leitlinien zu verschiedenen Themen der Datenschutz-Grundverordnung (DSGVO) veröffentlichen. Bei diesen Leitlinien handelt es sich nicht um die bereits bekannten, teilweise sehr ausführlichen, Stellungnahmen der Datenschützer. Die Leitlinien sind eher als grober Überblick und Richtschnur für die Praxis zu sehen und geben einen Eindruck davon, wie die europäischen Datenschutzbehörden verschiedene Bestimmung der Datenschutz-Grundverordnung interpretieren. Aus Sicht der Praxis sind diese Leitlinien in jedem Fall ein wertvolles Instrument und sollten bei der Arbeit im Datenschutzrecht und der anstehenden Umsetzung der Vorgaben der Datenschutz-Grundverordnung zumindest zur Kenntnis genommen werden.

In ihrem Leitfaden zum Datenschutzbeauftragten stellen die Datenschützer zunächst fest, dass ihrer Auffassung nach Datenschutzbeauftragte nicht persönlich für die Nichteinhaltung der Datenschutz Grundverordnung durch den Verantwortlichen oder den Auftragsverarbeiter haftet. Nach Auffassung der Datenschützer sei es klar, dass allein der verantwortliche oder der Auftragsverarbeiter verpflichtet sind und nachweisen müssen, dass eine Datenverarbeitung den Vorgaben der Datenschutz Grundverordnung entspricht. Hierzu verweisen sie auf Art. 24 Abs. 1 DSGVO, der die allgemeine Rechenschaftspflicht etabliert.

Des Weiteren erläutern die Datenschützer in ihrem Leitfaden näher, unter welchen Voraussetzungen Datenschutzbeauftragter verpflichten zu bestellen ist, Art. 37 Abs. 1 DSGVO. Interessant ist der Hinweis, dass die Datenschützer empfehlen, die interne Vor-Prüfung, ob bei einem Verantwortlichen oder Auftragsverarbeiter ein Datenschutzbeauftragter zu bestellen ist, dokumentierbar durchgeführt werden sollte, um diese Prüfung im Zweifelsfall nachweisen zu können.

Nach Art. 37 Abs. 1 lit. b) DSGVO muss ein Verantwortliche oder ein Auftragsverarbeiter auf jeden Fall einen Datenschutzbeauftragten benennen, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Die Datenschützer interpretieren den Begriff der „Kerntätigkeit“ im Sinne des Kerngeschäfts, dessen Durchführung für den Verantwortlichen oder Auftragsverarbeiter erforderlich ist, um seine Ziele zu erreichen. Nach Auffassung der Datenschützer sollte der Begriff „Kerntätigkeit“ jedoch nicht zu eng verstanden werden und daher auch solche Aktivitäten umfassen, die untrennbar Teil der Aktivität des Verantwortlichen oder Auftragsverarbeiters sind. Hier wird die Leitlinie leider etwas unbestimmt, auch wenn die Datenschützer versuchen, mit konkreten Beispielen mehr Licht in ihre Aussagen zu bringen. Nicht als Kerntätigkeit stufen die Datenschützer richtigerweise Verarbeitungen im Zusammenhang mit der Verwaltung oder auch der Bezahlung der Mitarbeiter und auch des IT-Supports ein.

Nach Art. 37 Abs. 1 lit. b) DSGVO erfordert zudem eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“. Die Datenschützer weisen darauf hin, dass der Begriff „umfangreich“ nicht konkret mit einer Zahl hinterlegt werden könne. Die Datenschützer benennen einige Faktoren, die ihrer Ansicht nach bei der Prüfung, ob eine umfangreiche Verarbeitung gegeben ist, berücksichtigt werden sollten. Hierzu sollen unter anderem die Zahl der betroffenen Personen, der Umfang der Datensätze oder auch die Dauer der Datenverarbeitung und ihre geographische Ausdehnung Berücksichtigung finden. Zwar verweisen die Datenschützer in ihrer Leitlinie auf Erwägungsgrund 91, in dem es heißt:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Jedoch scheinen die Datenschützer die dortige Begründung nicht unbedingt auf den Themenkomplex Datenschutzbeauftragter anwenden zu wollen. Die Ablehnung der Übertragung lässt sich meines Erachtens kritisieren, da kein Grund dafür ersichtlich ist, warum die Informationen Erwägungsgrund 91, in denen es genau um die Frage geht, wann eine Verarbeitung umfangreich bzw. eben nicht umfangreich ist, nicht auch hier im Rahmen der Frage zu berücksichtigen sind, wann ein Datenschutzbeauftragter zu bestellen ist. Betrachtet man Erwägungsgrund 91, so ist auch klar, dass der von den Datenschützern benannte Faktor „Zahl der betroffenen Person“ im Ergebnis keine größere Rolle spielt, der nach Erwägungsgrund 91 genau dieser Faktor unerheblich ist, selbst wenn etwa 100.000 Patientendatensätze von einem Arzt verarbeitet werden.

Mit Blick auf den Begriff „regelmäßige und systematische Überwachung“ gehen die Datenschützer davon aus, dass dieser auf der einen Seite selbstverständlich das online Trekking oder die Profilbildung im Internet, etwa für verhaltensbasierte Werbung umfasst. Daneben sind aber auch Überwachungsmethoden umfasst, die nicht im Internet sondern in der „Offline“-Welt stattfinden.

Zu den Anforderungen an die Person des Datenschutzbeauftragten selbst (Art. 37 Abs. 5 DSGVO) halten die Datenschützer fest, dass die Begriffe „berufliche Qualifikation“ und „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ in der DSGVO nicht näher umschrieben sind. Nach Auffassung der europäischen Datenschützer ist es jedoch ein maßgebliches Element, dass der Datenschutzbeauftragte Fachwissen im nationalen und europäischen Datenschutzrecht, in der Datenschutzpraxis und zusätzlich ein fundiertes Verständnis der DSGVO selbst haben muss.

Die Leitlinien der Datenschützer befassen sich noch mit vielen weiteren Themen rund um den Datenschutzbeauftragten, insbesondere auch mit seinen gesetzlich festgelegten Aufgaben und seiner Stellung beim Verantwortlichen oder Auftragsverarbeiter.

Entwurf der ePrivacy-Verordnung: Erste Anmerkungen

Auf der Webseite von politico.eu wurde gestern ein Entwurf für eine neue ePrivacy-Verordnung der Europäischen Kommission veröffentlicht (pdf). Diese Verordnung soll die bisher geltende Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG in der Fassung durch RL 2009/136/EG) ersetzen und inhaltlich mit der bereits in Kraft getretenen Datenschutz-Grundverordnung abstimmen.

Ob es sich bei dem nun veröffentlichten Entwurf tatsächlich um den letzten Stand handelt oder wie am Ende der offiziell veröffentlichte Entwurf für eine ePrivacy-Verordnung (ePrivacy-VO) aussieht, lässt sich momentan noch nicht sagen. Daher sollte man in jedem Fall im Hinterkopf behalten, dass es auch noch inhaltliche Änderungen an diesem Entwurf geben kann. Nichtsdestotrotz möchte ich nachfolgend einige interessante Aspekte der vorgeschlagenen Verordnung ansprechen.

Verhältnis zur Datenschutz-Grundverordnung (DSGVO)

Sowohl aus den Erwägungsgründen (5 und 7) als auch aus den Artikeln des Entwurfs (insbesondere Art. 1 Abs. 3) wird deutlich, dass die geplante ePrivacy-VO die speziellere Regelung gegenüber der DSGVO sein wird. Soweit also der Anwendungsbereich der ePrivacy-VO eröffnet ist, tritt die DSGVO zurück. Da die ePrivacy-VO jedoch weit weniger umfassende Regelungen trifft als die DSGVO, werden viele Vorgaben der DSGVO die Lücken in der ePrivacy-VO füllen. Dies betrifft etwa die Rechte der Betroffenen (vgl. Ziffer. 1.2. ePrivacy-VO).

Keine Regelung zur Vorratsdatenspeicherung

Ausdrücklich macht die Kommission in ihren Verordnungsentwurf klar, dass sie keine spezifischen Vorgaben zu einer Speicherung von Daten auf Vorrat vorsieht (Ziffer 1.3.; am Ende). Die Kommission stellt doch gleichzeitig klar, dass die Mitgliedstaaten weiterhin die Möglichkeit besitzen, nationale Regeln zu einer Vorratsdatenspeicherung beizubehalten oder zu kreieren.

Anwendungsbereich der ePrivacy-VO

Nach Art. 2 Abs. 1 soll die Verordnung für die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung und Benutzung elektronischer Kommunikationsdienste gelten. Hiervon umfasst sind nach der Begriffsbestimmung in Art. 4 Abs. 2 lit. (b) sowohl Inhalts- als auch Metadaten.

Wichtig ist zudem der Hinweis darauf, dass sich der Anwendungsbereich nach Art. 2 Abs. 1 auch allein auf „Informationen“ erstreckt, die sich auf die Endgeräteinrichtungen von Endnutzern beziehen. Umfasst sind damit von der Verordnung also nicht nur klassische Kommunikationsdaten.

Räumlich soll die ePrivacy-VO, den Regelungen der DSGVO entsprechend, einen weiten Anwendungsbereich haben (vergleiche Art. 3). Insbesondere ist sie anwendbar auf die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung von elektronischen Kommunikationsdiensten in der Europäischen Union, unabhängig davon, ob die Verarbeitung selbst in der Europäischen Union stattfindet oder nicht. Der räumliche Anwendungsbereich erstreckt sich auch auf den Schutz von Informationen bezogen auf Endgeräte von Nutzern, die sich in der Europäischen Union befinden (vgl. Art. 3 Abs. 1 lit (a)).

Räumlich ist die ePrivacy-VO auch auf eine Verarbeitung elektronischer Kommunikationsdaten anwendbar, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste außerhalb der Europäischen Union an Endnutzer in der Europäischen Union steht. Auch diese Regelung erinnert an die neuen Vorgaben der DSGVO (vgl. Art. 3 Abs. 1 lit. (b).

Neue Pflichten für OTT-Dienste

Im Rahmen der Diskussionen zu der Neuregelung der ePrivacy-VO wurde stets auch eine Erweiterung des Anwendungsbereichs auf sogenannte OTT-Dienste erörtert. Diese Erweiterung soll nun tatsächlich mit der ePrivacy-VO kommen. Nach Auffassung der Kommission (siehe Erwägungsgrund 13) hat die bisherige Situation, dass Anbieter von over-the-top-Diensten nicht den Pflichten der bisher geltenden ePrivacy-Richtlinie Unterlagen, dazu geführt, dass ein unzureichender Schutz der Vertraulichkeit der Kommunikation existierte. Aus diesem Grund müsse der Anwendungsbereich der existierenden Richtlinie mit der nun vorliegenden Verordnung erweitert werden.

Internet der Dinge und Industrie 4.0

Ausdrückliche Erwähnung findet in den Erwägungsgründen (14) auch das Internet der Dinge vernetzte Geräte und Maschinen. Der Fokus der Kommission liegt im Rahmen dieses Entwurfs jedoch nicht nur auf eine Kommunikation zwischen Maschine und einem Endbenutzer sondern ausdrücklich auch auf der Kommunikation zwischen zwei Maschinen. Informationen, die im Rahmen der vernetzten Industrie und auch verletzter Haushaltsgeräte zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DSGVO enthalten.

Um dem Schutz der Privatsphäre und auch der vertraulichen Kommission größtmögliche Rechnung zu tragen stellt die Kommission klar, dass die ePrivacy-VO auch für die Maschine-Maschine-Kommunikation und damit also auch für den Informationsaustausch zwischen vernetzten Geräten selbst, etwa im Rahmen der Industrie 4.0, Anwendung findet.

„Cookie-Regelung“

Eines der umstrittensten Themen bereits unter der geltenden ePrivacy-Richtlinie und dann auch im Zuge der Diskussion um deren Überarbeitung war die Frage nach dem regulatorischen Umgang mit Cookies und anderen Techniken, mit denen auf Informationen in Endgeräten von Nutzern zugegriffen wird bzw. Informationen auf Endgeräten von Nutzern abgelegt werden.

Vorgaben hier zu finden sich in Art. 8 ePrivacy-VO. Grundsätzlich soll nach Art. 8 Abs. 1 verboten sein, die Rechen- und Speicherleistung eines Endgerätes zu nutzen und auch Informationen über Endgeräte eines Endnutzers (einschließlich Informationen über Software und Hardware) zu erheben.

Von diesem Grundsatz gibt es einige wenige Ausnahmen. Unter anderem dann, wenn es erforderlich ist für den alleinigen Zweck der Übertragung der Kommunikation über ein elektronisches Kommunikationsnetzwerk oder aber wenn der Endnutzer zuvor dieser Datenerhebung oder der Nutzung der Speicherkapazität seines Endgeräts zugestimmt hat.

Nicht erforderlich ist eine Einwilligung beim Einsatz von Cookies auch dann, wenn ihre Verwendung für die Nutzung eines bestimmten Dienstes erforderlich ist und ausdrücklich von dem Endbenutzer gewünscht wird. In Erwägungsgrund 25 wird beispielhaft ein Cookie zur Personalisierung einer Benutzeroberfläche erwähnt, insbesondere etwa auch um Spracheinstellungen zu speichern. Hierzu gehören nach dem Erwägungsgrund 25 auch solche Cookies, die die Eingaben von Nutzer speichern, während dieser über mehrere Webseiten hinweg Formulare ausfüllt.

Insgesamt sind die Erwägungsgründe 25 bis 28 durchaus lesenswert. In Erwägungsgrund 26 wird konstatiert, dass derzeit sich die Nutzer im Internet bei der Erteilung von Einwilligungen einer Informationsüberflutung gegenübersehen und daher zum Einsatz zentralisierter, transparenter und benutzerfreundlicher Einstellungen zur Privatsphäre „ermutigt“ werden soll. Grundsätzlich wird auch klargestellt, dass die Einstellungen im Browser oder in der Anwendung durch einen Nutzer als Einwilligung in die Verarbeitung von Daten angesehen werden kann.

Interessant ist die neue Regelung in Art. 8 Abs. 2. Diese befasst sich mit dem oben bereits erwähnten erweiterten Anwendungsbereich der ePrivacy-VO auf die Maschinen-Maschinen-Kommunikation und dem Internet der Dinge. Nach Art. 8 Abs. 2 ist der Erhebung von Daten (Achtung: nicht etwa nur elektronischen Kommunikationsdaten), die von Endgeräten ausgesendet werden, um eine Verbindung mit einem anderen Gerät oder einem Netzwerk herzustellen, ebenfalls grundsätzlich ausgeschlossen. Auch hier bestehen jedoch Ausnahmen. Die Erhebung solcher Daten ist dann gestattet, wenn dies ausschließlich dem Zweck einer Verbindungsaufbau zwischen den Geräten dient. Außerdem ist Erhebung und Nutzung solcher Daten auch für Werbezwecke möglich (Art. 8 Abs. 2 lit. (b)), jedoch ist hierfür erforderlich, dass ein klarer und deutlicher Hinweis über die Umstände der Erhebung, die Zwecke, den Verantwortlichen und jene Maßnahmen erteilt wird, die Endbenutzer der Endgeräte unternehmen können, um den Erhebungsumfang zu verringern. Sollten solche Daten für Werbezwecke oder das Pro feilen genutzt werden, so hat der Nutzer ein Widerspruchsrecht wie dies in Art. 21 DSGVO vorgesehen ist.

Zusätzlich, und dies ist insbesondere auch für Unternehmen im Bereich der Industrie 4.0 und der vernetzten Geräte interessant, müssen angemessene technische und obligatorische Maßnahmen getroffen werden um ein angemessenes Sicherheitsniveau zu schaffen. Auch hier verweist der Verordnungsentwurf auf die DSGVO, nämlich Art. 32.

Beschränkungen durch die Mitgliedstaaten

Nach Art. 11 ePrivacy-VO  ist es den Mitgliedstaaten jedoch auch gestattet, in gewissen Grenzen die Rechte und Pflichten welche in den Artikeln 5,6, 7 und 8 vorgesehen sind zu begrenzen. Diese Möglichkeit der Beschränkung erinnert ebenfalls an jene in der DSGVO. Auch hier dürfte sich da das Problem ergeben, dass es zur abweichenden Regelung in den verschiedenen Mitgliedstaaten kommen kann, und der Harmonisierungseffekt der Verordnung zumindest nur bis zu einem gewissen Grad erreicht wird.

Einwilligung

Was die Einwilligung anbelangt, so verweist die ePrivacy-VO  auf die Vorgaben der DSGVO. Dennoch sieht Art. 9 ePrivacy-VO einige Spezialitäten bei der Einwilligung vor. So wird etwa ausdrücklich darauf hingewiesen, dass die Einwilligung auch durch die Nutzung angemessener technischer Einstellungen von Softwareprodukten erteilt werden kann, die den Zugang zum Internet ermöglichen. Hier scheint die Europäische Kommission also insbesondere Webbrowser im Blick zu haben.

Zudem sollen Nutzer, die in die Verarbeitung elektronischer Kommunikationsdaten eingewilligt haben, stets die Möglichkeit haben, ihre Einwilligung mit Wirkung für die Zukunft zu widerrufen und zusätzlich in periodischen Intervallen von 6 Monaten diese Widerrufsmöglichkeit haben. Diese letzte Verpflichtung erscheint jedoch etwas unverständlich, da ja ohnehin stets eine Widerrufsmöglichkeit existiert. Die Vorgabe einer periodischen Widerrufsmöglichkeit alle 6 Monate lässt sich daher eventuell nur so verstehen, dass das Unternehmen alle 6 Monate den jeweiligen Nutzer darauf hinweisen muss, dass er seine Einwilligung widerrufen kann.

Privacy by Design

In Erwägungsgrund 28 wird vorgesehen, dass Softwareanbieter dazu verpflichtet werden sollten, Software am Markt nur mit Privatsphäre-freundlichen Einstellungen zu vertreiben. Insbesondere hiervon umfasst sind Anbieter von Webbrowsern oder andere Software, mit denen man im Internet surfen kann. Zudem möchte die Kommission vorsehen, dass Nutzer beim 1. Aktivieren der Software ihre Privatsphäre Einstellungen wählen müssen. Nimmt ein Nutzer dann keine Einstellungen vor, soll der Webbrowser die Voreinstellung besitzen, dass er jegliche Speicherung durch Cookies von Dritten oder andere Art von Zwecken nicht gestattet.

In Art. 10 befasst sich die ePrivacy-VO ausdrücklich mit dem Prinzip des Privacy by Design. Nach Abs. 1 müssen die Einstellungen aller Komponenten eines Endgerätes, welches im europäischen Markt vertrieben wird, als Grundeinstellung vorsehen, dass Dritte keine Informationen auf dem Endgerät speichern können oder Informationen aus diesem Endgerät erheben können. Für Softwareanbieter sieht Abs. 2 eine ähnliche Verpflichtung vor.

Bei den Verpflichtungen des Art. 10 fragt man sich freilich, welche Pflichten Adressaten hier angesprochen sind. Denn bei dem Hersteller eines Endgerätes oder bei dem Softwarehersteller muss es sich nicht stets um den Anbieter eines elektronischen Kommunikationsdienstes handeln. Der Anwendungsbereich der ePrivacy-VO erstreckt sich nach ihm Art. 2 Jahr aber grundsätzlich nur auf die Verarbeitung elektronischer Kommunikationsdaten oder aber zumindest die Verarbeitung von „Informationen“ in Bezug auf Endgeräte. Die in Art. 10 beschriebenen Pflichten setzen aber bereits in der Produktionskette eher an. Man wird hier abwarten müssen, ob es noch eine entsprechende Anpassung des Art. 10 gibt.

Vorgaben für Werbung

Wie bisher wird auch die ePrivacy-VO gewisse Regelungen zur Nutzung elektronischer Kommunikationsdienste für Werbezwecke vorsehen. Grundsätzlich soll nach Art. 16 Abs. 1 die Nutzung elektronischer Kommunikationsdienste für den Zweck der Übertragung von Direktwerbung nur nach vorheriger Einwilligung des Endnutzers gestattet sein.

Art. 16 Abs. 2 macht hiervon eine Ausnahme für den bereits jetzt bekannten Fall, dass eine Kundenbeziehung zwischen den werbenden und dem Endnutzer existiert. Ausdrücklich wird jedoch darauf Bezug genommen dass es sich um ein „Kunden“ handeln muss und etwa ein Unternehmen von diesem elektronische Kontaktdaten im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten hat. Dieser Schritt der Erhebung der elektronischen Kontaktdaten unterliegt nach Art. 16 Abs. 2 der DSGVO und muss den Vorgaben eben dieser entsprechen. Grundsätzlich hat der Kunde dann auch jederzeit ein Recht, der Direktwerbung zu widersprechen.

Aufsichtsbehörden und Kooperation

Zudem ist noch darauf hinzuweisen, dass Art. 19 ePrivacy-VO vorsieht, dass die Regelungen des Kapitels 2 der ePrivacy-VO durch die nationalen Datenschutzbehörden überwacht werden sollen. Art. 19 Abs. 2 verweist ja ausdrücklich auf die Aufsichtsbehörden, welche auch für die Überwachung der Einhaltung der DSGVO zuständig sind.

Diese ausdrückliche Zuweisung ist insbesondere deshalb interessant, weil sie einmal inhaltlich wichtige Pflichten der geplanten ePrivacy-VO umfasst, wie die Vorgaben zur Einwilligung, zur Zulässigkeit der Verarbeitung elektronischer Kommunikationsdaten, zum Einsatz von Cookies und anderen ähnlichen Technologien oder auch zu den Vorgaben des Privacy by Design. In Deutschland wären dann alle Landesaufsichtsbehörden und nicht etwa nur exklusiv die Bundesbeauftragte für den Datenschutz im Rahmen ihrer Zuständigkeit für Telekommunikationsunternehmen, für die Überwachung und Durchsetzung des Kapitels II der ePrivacy-VO zuständig.

Bußgelder

In Art. 25 werden die Vorgaben für die Verhängung von Bußgeldern beschrieben. Diese sind in weiten Teilen an jene Regelungen der DSGVO angelehnt. Dies bedeutet gleichzeitig auch, dass die Höhe der möglichen Bußgeldbeträge auf 4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres eines Unternehmens festgesetzt wird.

Ab wann ist die ePrivacy-VO anwendbar?

Auf diese Frage findet sich in dem Entwurf noch keine Antwort. Im Unterschied zu DSGVO ist jedoch in Art. 31 Abs. 2 vorgesehen, dass die ePrivacy-VO 6 Monate nach dem Datum des Inkrafttretens anwendbar sein soll. Die Übergangszeit ist hier also deutlich kürzer bemessen als mit Blick auf die zwei Jahre bei der DSGVO. Dies ist im Endeffekt aber auch konsequent, da es der Plan der europäischen Kommission sein wird, die DSGVO und auch die neue ePrivacy-VO dem Grunde nach zeitgleich zur Anwendung zu bringen. Die kürzere Frist zur Umstellung auf die neuen Vorgaben der ePrivacy-VO bedeutet für Unternehmen aber gleichzeitig auch erhöhten Anpassungsbedarf und –druck.

EU-Minister sollen über Gewährleistungsrechte beim Kauf vernetzter Geräte entscheiden

Am 9. Dezember 2015 hat die europäische Kommission Entwürfe für zwei verschiedene Richtlinien zum einen über bestimmte vertragliche Aspekte des online waren Handels (COM(2015) 635) und zum anderen über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte (COM(2015) 634)  veröffentlicht. Insbesondere der 2. Richtlinienvorschlag zur Bereitstellung digitaler Inhalte bietet interessante Neuerungen zur aktuellen Rechtslage. Dort sind unter anderem Regelungen zu Situationen vorgesehen, in denen der Zugang bzw. die Bereitstellung personenbezogener Daten oder auch „anderer Daten“ als Gegenleistung für die Bereitstellung digitaler Inhalte anerkannt werden soll (vgl. Art. 3 Abs. 1).

Die beiden Richtlinie Entwürfe werden nun in den verschiedenen europäischen Institutionen beraten. Unter anderem auch im Rat der Europäischen Union.

In einem relativ aktuellen Dokument der Ratspräsidentschaft an den Rat vom 1. Dezember 2016 (14827/16, pdf) wird der aktuelle Diskussionsstand im Rat übersichtlich zusammengefasst und es werden auch Fragen an die einzelnen Mitgliedstaaten zu besonderen Schwerpunkten und noch offenen bzw. streitigen Themen gestellt. Zwei dieser offenen Punkte möchte ich nachfolgend kurz besprechen.

Welche Gewährleistungsregeln sollen bei vernetzten Geräten gelten?

In ihrem ersten Fragekomplex beleuchtet die Ratspräsidentschaft intelligente Haushaltsgeräte (Stichworte sind hier „Internet der Dinge“, „smart cars“ oder auch „smart homes“). Diese intelligenten und vernetzten Geräte bieten bereits derzeit und mit Sicherheit auch in Zukunft bis zu einem gewissen Grad digitale Inhalte an. Als Beispiel wird etwa der intelligente Kühlschrank angeführt, der seinen Inhalt selbst überprüft und eine Einkaufsliste für fehlende Gegenstände erstellt.

Zwischen den Mitgliedstaaten im Rat ist umstritten, welche Gewährleistungsvorschriften aus den beiden zuvor benannten Richtlinienvorschlägen gelten sollen, wenn es bei so einem intelligenten Gerät, man denke hier etwa auch an vernetzte Fahrzeuge, zu einem Fehler kommt bzw. ein Mangel auftritt. Sollen in diesem Fall die Regelungen für die Bereitstellung digitaler Inhalte gelten oder doch die Regelungen für den Verkauf normaler (also physischer) Waren?

Der Richtlinienvorschlag der Kommission zur Bereitstellung digitaler Inhalte sieht vor, dass die Regelungen der Richtlinie nicht für digitale Inhalte gelten sollen, „die derart in einer Ware integriert sind, dass sie fester Bestandteil der Ware sind und ihre Funktionen den Hauptfunktionen der Ware untergeordnet sind“ (Erwägungsgrund 11). Nach Auffassung der Ratspräsidentschaft würde dies bedeuten, dass wohl zumeist die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter gelten würden (Richtlinie 1999/44/EG).

Innerhalb der Arbeitsgruppe des Rates für Zivilrecht wurden vor diesem Hintergrund drei mögliche Optionen für ein zukünftiges Vorgehen und gesetzliche Regelungen beraten:

  • Die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs auf die in den Produkten integrierten, digitalen Inhalte anzuwenden.
  • Eine Trennung in der Form vorzunehmen, dass die Regeln zum Verbrauchsgüterkauf auf die physische Ware selbst und die neuen Regeln der vorgeschlagenen Richtlinie auf die in dem Gerät enthaltenen digitalen Inhalte anwendbar sein.
  • Die neuen Vorgaben zu digitalen Inhalten insgesamt auf das vernetzte Gerät anzuwenden, jedoch mit der Ausnahme, dass der Verkäufer die Möglichkeit hat darzulegen, dass der Mangel sich allein aus dem (physischen) Produkt selbst ergibt und dann die Regeln zum Verbrauchsgüterkauf anwendbar wären.

Nach Aussage der Ratspräsidentschaft fand die zweite Option (Trennung) wohl kaum Zuspruch. Für die beiden anderen Optionen gab es jeweils für sprechende Stimmen der Mitgliedstaaten, ohne dass jedoch bisher eine eindeutige Mehrheit erkennbar wäre.

Vor diesem Hintergrund bittet der Rat auf politischer Ebene (also durch die Minister der Mitgliedstaaten) zu entscheiden, welche Option für weitere Diskussionen in der Arbeitsgruppe die Grundlage sein soll.

Die Entscheidung der Minister und damit die zukünftigen Diskussionen sind für die Wirtschaft in Europa nicht trivial. Gerade wenn man bedenkt, wie viele vernetzte Geräte ist derzeit bereits gibt und wohl in Zukunft auch auf dem Markt vorhanden sein werden. Man sollte sich dabei auf vor Augen halten, dass es hier eben nicht nur um kleine Geräte im eigenen zu Hause geht, sondern grundsätzlich auch etwa um vernetzte Fahrzeuge.

Nach Auffassung der Ratspräsidentschaft würde die erste Option, also auf vernetzte Geräte grundsätzlich die Regelung des Verbrauchsgüterkaufs anzuwenden, aus Sicht der Verbraucher leichter vorhersehbare Rechte bereithalten. Jedoch würden natürlich gleichzeitig auch die spezifischen Vorgaben für digitale Inhalte unter der vorgeschlagenen Richtlinie der europäischen Kommission dann nicht anwendbar sein.

Die dritte vorgeschlagene Option bietet aus Sicht der Ratspräsidentschaft eine flexiblere Möglichkeit diejenigen Regelungen zur Anwendung zu bringen, die in der ehemaligen Situation am besten geeignet sind. Dem Verkäufer verbliebene immer noch die Möglichkeit darzulegen, dass in einem konkreten Fall die normalen Regeln zum Verbrauchsgüterkauf gelten würden, wenn etwa ein Mangel allein das physische Gerät an sich betrifft.

Was genau sind „andere Daten“ und sollen diese als Gegenleistung anerkannt werden?

Im zweiten Themenkomplex des Arbeitsdokumentes befasst sich die Ratspräsidentschaft mit dem Begriff der „anderen Daten“ aus dem Richtlinienvorschlag zur Bereitstellung digitaler Inhalte. Einleitend wird darauf hingewiesen, dass bereits in der Vergangenheit im Rat Diskussion zum Verhältnis zwischen der vorgeschlagenen Richtlinie und der ab Mai 2018 anwendbaren Datenschutz-Grundverordnung (DSGVO) geführt wurden. Das Zusammenspiel der beiden Rechtsinstrumente sei nach Auffassung der Ratspräsidentschaft sehr komplex und habe weitere Probleme zutage gefördert, die noch näher behandelt werden müssten. Dies auch vor dem Hintergrund, da der vorgeschlagene Richtlinienentwurf neben den „anderen Daten“ auch personenbezogene Daten erwähnt und ist daher ein Unterschied zwischen beiden Datenarten zu geben scheint.

Zwar existiert bereits derzeit für gewisse Fragen ein Prüfauftrag an den juristischen Dienstes des Rates. So hat die deutsche Delegation im Rat den juristischen Dienst um eine Stellungnahme dazu gebeten, auf welcher Rechtsgrundlage der DSGVO personenbezogene Daten verarbeitet werden dürfen, wenn diese eine Gegenleistung für die Bereitstellung digitaler Inhalte darstellen, in der DSGVO jedoch in Art. 7 Abs. 4 ein Kopplungsverbot für die Einwilligung vorgesehen ist.

Auch hinsichtlich dieses Themenkomplexes, und ohne Antworten etwa des juristischen Dienstes vorgreifen zu wollen, bittet jedoch die Ratspräsidentschaft die Minister der Mitgliedstaaten um eine Vorgabe dazu, ob die Bereitstellung von „anderen Daten“ tatsächlich als eine Gegenleistung im Rahmen des Entwurfs der Richtlinie angesehen werden soll.

Die Ratspräsidentschaft erwähnt in ihrem Dokument noch einige Beispiele der „anderen Daten“, die von der Europäischen Kommission angeführt werden. So sollen zu den „anderen Daten“ zum Beispiel solche Daten gezählt werden die durch den jeweiligen Anbieter in irgend einer Form verwertet werden können, wie zum Beispiel Landschaftsbilder, Liedtexte oder auch anonymisierte Daten über Gruppen von Personen, die sich nicht auf identifizierbare einzelne Personen beziehen.

Jedoch weist die Ratspräsidentschaft darauf hin, dass sich in Diskussionen, unter anderem auch mit Experten ergeben hat, dass in den meisten Fällen solche Daten, die von dem Verbraucher zur Verfügung gestellt werden, diese auch ein Personenbezug aufweisen werden. Stellt sich da die Frage, ob es im Anwendungsbereich der vorgeschlagenen Richtlinie faktisch überhaupt „andere Daten“ geben kann.

In jedem Fall bringe die vorgeschlagene Unterscheidung im Richtlinienentwurf zwischen personenbezogenen Daten und anderen Daten Schwierigkeiten in der Praxis und damit Rechtsunsicherheit mit sich. Einige Delegationen im Rat seien daher der Auffassung, dass es einer Unterscheidung der beiden Datenkategorien nicht bedürfe. Insgesamt seien die Mitgliedstaaten im Rat aber unentschieden darüber, ob man die Kategorie der „anderen Daten“ im Richtlinienvorschlag beibehalten solle.

Auch dieser zweite Themenkomplex ist für europäische Unternehmen, die vernetzte bzw. intelligente Geräte herstellen und/oder vertreiben, von Relevanz. Denn betrachtet man etwa das Beispiel des intelligenten Autos, gibt es diesbezüglich ja durchaus auch Diskussionen über eine Unterscheidung zwischen direkt personenbezogenen Daten und solchen (rein statistischen) Daten, die keinen Personenbezug aufweisen. Hier könnte man sich also die Frage stellen, ob es sich bei letzteren Informationen um „andere Daten“ handelt und welche Regeln zukünftig für diese Daten gelten sollen.

Referentenentwurf zum BDSG-neu – Kurzanalyse zur zweckändernden Weiterverarbeitung nach § 23 BDSG-neu

In dem nun veröffentlichten Referentenentwurf des Bundesministeriums des Innern (Stand: 23.11.2016) „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ (PDF) soll u.a. in § 23 BDSG-neu eine Regelung zur Zulässigkeit von (Weiter-)Verarbeitungen personenbezogener Daten zu anderen Zwecken getroffen werden.

Mit Blick auf eine Weiterverarbeitung für andere Zwecke ist durchaus umstritten, ob Mitgliedstaaten im nationalen Recht eine eigene Rechtsgrundlage für diese Weiterverarbeitung schaffen dürfen und ob Art. 6 Abs. 4 DSGVO eine solche Ermächtigung enthält. Die zweckändernde Weiterverarbeitung personenbezogener Daten ist in der datenschutzrechtlichen Diskussion ohnehin ein Dauerbrenner.

Ich habe zu dieser Thematik eine kurze rechtliche Einschätzung erstellt. Abrufbar hier (PDF).