Kategorie: DSGVO

EDSA Cookie Banner Task Force

7. Oktober 2021

Am 27. September 2021 gab der Europäische Datenschutzausschuss (EDSA) bekannt, dass er eine “Cookie-Banner” Task Force eingerichtet hat. Ziel und Aufgabe dieser Task Force ist, die Beschwerden, die die Organisation None of Your Business (NOYB) im Zusammenhang mit Cookie-Bannern auf Webseiten bei mehreren EU-Datenschutzbehörden eingereicht hat und daraus resultierenden Antworten, zu koordinieren,.


Im Mai 2021 hatte NOYB über 500 Beschwerdeentwürfe und formelle Beschwerden an Unternehmen in der EU bezüglich der Verwendung ihrer Cookie-Banner geschickt. Die Beschwerden scheinen sich bei den meisten Webseiten auf das Fehlen einer Schaltfläche “Alle ablehnen” zu konzentrieren sowie auf die Art und Weise, wie Cookie-Banner ein trügerisches Design verwenden, um die Betroffenen dazu zu bringen, der Verwendung von nicht notwendigen Cookies zuzustimmen. Ein weiterer häufig genannter Beschwerdegrund ist die Schwierigkeit, Cookies abzulehnen, im Gegensatz zu der einfachen Möglichkeit, ihnen zuzustimmen.


Der EDPB erklärte, dass die Task Force in Übereinstimmung mit Art. 70 (1) (u) DSGVO eingerichtet wurde und das Ziel verfolgt, die Zusammenarbeit, den Informationsaustausch und die besten Praktiken zwischen den Datenschutzbehörden zu fördern. Die Einsatzgruppe soll sich über rechtliche Analysen und mögliche Verstöße austauschen, die Aktivitäten auf nationaler Ebene unterstützen und die Kommunikation vereinfachen.

Digitaler Führerschein wegen Sicherheitslücken gestoppt

1. Oktober 2021

Die erst kürzlich vorgestellte App „ID Wallet“ muss noch einmal auf den Prüfstand und ist nicht mehr verfügbar. Eine Woche nach dem Startschuss für den digitalen Führerschein in Deutschland ist die dazugehörige Smartphone-App ID Wallet wieder zurückgezogen worden.

Der von der Bundesregierung beauftragte Dienstleister Digital Enabling GmbH erklärte, der Start der App habe viel Aufmerksamkeit von Nutzerinnen und Nutzern erhalten, die sich intensiv mit Sicherheits- und Vertrauensfragen befassen. Das Unternehmen räumte jedoch nicht direkt ein, dass Sicherheitslücken tatsächlich vorhanden seien, sondern verwies auf Probleme durch die Überlastung der Server. „Um das System auf höhere Nutzlasten auszulegen und den Sicherheitshinweisen nachzugehen, werden wir in den nächsten Wochen umfangreiche weitere Tests durchführen. In dieser Zeit werden wir die App aus den Stores nehmen.“

Der digitale Führerschein, der in der ID-Wallet aufbewahrt wird, soll beispielsweise die Nutzung von Mietwagen oder Carsharing-Angeboten erleichtern. Langfristig sollte das digitale Abbild des Führerscheins auf dem Smartphone das analoge Papier vollständig ersetzen können, etwa bei einer Ausweiskontrolle. Laut Digital Enabling werden dabei die personenbezogenen Daten auf dem Smartphone gespeichert. Aussteller und Anfragende verarbeiten die personenbezogenen Daten in ihren internen Systemen unter eigenverantwortlicher Erfüllung der Anforderungen der Datenschutzgrundverordnung. Das Projekt wurde vor einer Woche von Bundesverkehrsminister Andreas Scheuer vorgestellt.

Nach der Vorstellung des Projekts „Digitaler Führerschein“ traten zunächst technische Schwierigkeiten auf, weil die Server überlastet waren. Außerdem kritisierten Sicherheitsexperten aus dem Umfeld des Chaos Computer Clubs (CCC) die Anwendung. Man habe „Grund zur Annahme“, dass die Infrastruktur hinter der App und die zugrundeliegende Blockchain-Technik angreifbar sein könnten.

Weiterleitungen von Gerichtsentscheidung dürfen nur anonymisiert erfolgen

Gerichtsentscheidungen dürfen nur anonymisiert – d.h. ohne namentliche Nennung der betroffenen Personen – an andere Behörden weitergeleitet werden. Das entschied das Landgericht Köln unter Verweis auf die DSGVO mit Urteil vom 03.08.2021 (Az. 5 O 84/21). Einen Anspruch auf Schmerzensgeld für die unberechtigte Weiterleitung verneinte das Gericht.

Sachverhalt

Im Ursprungsfall wandte sich der Kläger gegen eine Allgemeinverfügung der Stadt Bergisch Gladbach, die ihm aufgrund der Corona-Pandemie die Schließung seines Geschäftslokals auferlegte. Nachdem das Verwaltungsgericht Köln zugunsten der Stadt entschieden hatte, leitete diese den Beschluss an andere Behörden zu deren Information weiter. Dabei unterließ sie jede Form der Anonymisierung, d.h. Unkenntlichmachung des Klägers.

In dem Verfahren vor dem LG Köln begehrte der Kläger deswegen von der Stadt Schmerzensgeld gem. Art. 82 DSGVO. Dazu behauptete er, durch die öffentliche Bekanntmachung des Beschlusses sei er Anfeindungen als Corona-Leugner ausgesetzt gewesen und seine Reputation habe gelitten. Die Stadt hingegen verwies darauf, dass der Fall bereits durch die Berichterstattung in einer Tageszeitung der Öffentlichkeit bekannt gewesen sei und dass es sich bei den personenbezogenen Daten des Klägers nicht um geheime Daten gehandelt habe.

Die Entscheidung

Nach Art. 82 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz zu. Das LG Köln sah in der Weiterleitung des Beschlusses an andere Behörden auch einen Verstoß gegen die DSGVO. Die Stadt hätte jedenfalls den Beschluss anonymisieren und die Identität des Klägers unkenntlich machen müssen.

Es verneinte jedoch einen Anspruch auf Schmerzensgeld gem. Art. 82 DSGVO. Als Begründung dafür führte es an, dass die vom Kläger beschriebenen Beeinträchtigungen nicht notwendigerweise auf die Offenlegung des Berichts zurückzuführen seien. Zu dem Zeitpunkt hätten sich auch andere Geschäftsinhaber gegen die Schließung gewehrt, so dass auch diese an den Beschluss hätten gelangen können. Zudem seien die Mitarbeiter der Verwaltung zur Verschwiegenheit verpflichtet.

Google reagiert auf den Wegfall des Privacy Shield

30. September 2021

Seit Jahren steht Google in puncto Datenschutz in vielfacher Hinsicht unter Kritik. Nun sollen auch bei dem Tech-Riesen für die eigenen Cloud-Dienste die überarbeiteten Standarvertragsklauseln gelten. Im Zuge einer Aktualisierung der Datenschutzbedingungen habe man auch die neuen SCCs aufgenommen, teilte Google mit. Laut Google soll dies eine transparente Unterstützung der Cloud-Kunden bei der Einhaltung der geltenden europäischen Datenschutzgesetze und eine Vereinfachung der Prozesse gewährleisten.

Seitdem das sog. Privacy – Shield – Abkommen durch den Europäischen Gerichtshof mit seinem Urteil vom 16. Juli 2020 in der Rechtssache “Schrems II” aufgehoben wurde, steht fest, dass bei einer Datenübertragung in die USA aktuell keine ausreichende Sicherung und Rechtewahrung für EU-Bürger vorhanden ist. Das Gericht zeigte wiederholt auf, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act einen massenhaften Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI erlauben. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) enthält bei Vorliegen gewisser Voraussetzungen eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden. So können auch Daten europäischer Bürger ohne Weiteres in die Hände der US-Behörden gelangen, wenn diese sie bei einer amerikanischen Muttergesellschaft zB. einem Cloudanbieter herausverlangt. Dies steht allerdings im Widerspruch mit Art. 48 DSGVO und stellt europäische Unternehmen vor die Frage, ob sie Unternehmen mit Muttergesellschaft in den USA zur Auftragsverarbeitung überhaupt rechtskonform einsetzen können oder nicht zu europäischen Anbietern wechseln sollten.

Verbliebenes Instrument zum Schutz des europäischen Datenschutzniveaus sind die Standardvertragsklauseln (SCCs), die die Europäische Kommission am 04.06.2021 in neuer Version und angepasst an die erhöhten Anforderungen des “Schrems II- Urteils” veröffentlichte. Diese werden die aktuell noch gültigen SCCs, die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedet wurden, ersetzen. Die neuen SCCs legen sowohl Datenexporteuren als auch Datenimporteuren erweiterte Pflichten auf. Google ist nach Amazon Web Services und Azure von Microsoft der nächste große Cloudanbieter, der die neuen SCCs implementiert.

Bei ihrer Umsetzung könnten allerdings einige Punkte spannend werden. So ist nach Klausel 14 der Datenimporteur verpflichtet, umfangreiche Informationen bereitzustellen, durch die eine Bewertung des Risikos der Datenübermittlung im Einzelfall möglich wird. Insbesondere ist entscheidend, dass nicht nur das allgemeine Datenschutzniveau im Empfängerland bewertet wird, sondern das konkrete Schutzniveau für die konkret übertragenen Daten eingeschätzt werden muss. Das könnte bedeuten, dass – anders als bisher – Google im großen Umfang datenschutzrechtlich tätig werden und interne Prozesse offenlegen müsste.

Hamburger Datenschutzbehörde verhängt Bußgeld gegen Vattenfall in Höhe von knapp 900.000 Euro

27. September 2021

Der (interimsweise) amtierende Hamburger Datenschutzbeauftragte (HmbBfDI) Ulrich Kühn verhängte gegen den Energiekonzern Vattenfall jüngst ein Bußgeld in Höhe von ca. 900.000 Euro. Grund dafür war, dass Vattenfall Kundendaten ohne legitimen Grund gespeichert hatte. Zwar dürfen Energieversorger grundsätzlich bis zu 10 Jahren Kundendaten speichern, dies allerdings nur wenn ein Grund vorliegt, wie etwa dass diese Daten dem Finanzamt vorgelegt werden müssen. Alternativ kann auch eine Einwilligung der Kunden zur Speicherung vorliegen, was hier allerdings nicht der Fall war.

Im vorliegenden Fall hatte Vattenfall die gespeicherten Daten genutzt, um sogenannte “Bonusshopper” als Neukunden abzulehnen. Bonusshoppper sind Kunden, die durch häufiges Wechseln ihrer Strom- und Gasverträge Geld sparen und Boni sammeln. Um solche von vorneherein auszusortieren und keinen Vertrag mit Ihnen einzugehen, hatte Vattenfall zwischen August 2018 und Dezember 2019 die Daten von potenziellen Neukunden mit älteren Kundendaten verglichen. So sollte festgestellt werden, ob die potenziellen Neukunden, die eine Anfrage für einen bestimmten Vertrag gestellt hatten, bereits früher einen Vertrag mit Vattenfall abgeschlossen hatten und dann gewechselt waren. Betroffen waren davon rund 500.000 Kunden.

Die Kunden wussten über diese Praxis nicht Bescheid, sodass HmbBfDI Kühn davon ausging, dass Vattenfall seiner Informationspflicht nicht nachgekommen sei. Das nun verhängte Bußgeld hätte deutlich höher ausfallen können, allerdings kooperierte Vattenfall umfassend mit der Hamburger Datenschutzbehörde. In dieser Zusammenarbeit wurde von Vattenfall ein Verfahren aufgebaut, mit dem sie in Zukunft Daten abgleichen dürfen. Voraussetzung dafür ist dann aber eine Einwilligung der Betroffenen.

BGH zur Reichweite des Auskunftanspruchs gem. Art. 15 DSGVO

23. September 2021

Mit Urteil vom 15. Juni 2021 hat der BGH erstmals umfassend Stellung zur Reichweite des Auskunftsanspruchs gemäß Art. 15 DSGVO genommen und damit restriktiven Stimmen einen Riegel vorgeschoben.

Die Vorinstanz hatte festgestellt, dass sich der Auskunftsanspruch im konkreten Fall nicht auf sämtliche interne Vorgänge der beklagten Versicherung beziehe, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann. Zurückliegende Korrespondenz mit den Parteien unterfalle laut dem LG Köln ebenfalls nicht dem Auskunftsanspruch.

Art. 15 DSGVO enthält insgesamt drei Ansprüche: Der Betroffene kann verlangen, dass der Verantwortliche bestätigt, ob ihn betreffende, personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat der Betroffene ein Recht auf Auskunft über diese Daten. Zusätzlich kann er den Erhalt einer Kopie der verarbeiteten Daten fordern.

In seinem Urteil stellte der BGH zunächst fest, dass der Begriff der personenbezogenen Daten gem. Art. 4 Nr. 1 DSGVO unter Berücksichtigung der Rechtsprechung des EuGH weit auszulegen und damit nicht auf bestimmte „signifikante“ Informationen beschränkt sei, sondern potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von persönlichen Schreiben, Stellungnahmen oder Beurteilungen umfasse, vorausgesetzt, dass es sich um Informationen handele, die mit der in Rede stehende Person verknüpft sind. Wie auch der EuGH vertritt der BGH damit die Meinung, der in Art. 15 DSGVO verwendete Begriff des Personenbezugs sei im Rahmen der DSGVO einheitlich und damit weit auszulegen.

Bezüglich der Reichweite des Auskunftsanspruches stellte der BGH sodann fest, dass die betroffene Person im Rahmen der Überprüfung der Rechtmäßigkeit der Verarbeitung sowohl Auskunft über die vollständige vergangene Korrespondenz der Parteien, Informationen zum „Prämienkonto“ des Klägers, Daten des Versicherungsscheins als auch über die internen Vermerke und die interne Kommunikation des Verantwortlichen grundsätzlich nach Art. 15 DSGVO verlangen kann. Insbesondere im Hinblick auf die Vollständigkeit der Korrespondenz setzte der BGH einen Riegel vor die restriktive Ansicht, eine Auskunft müsse nicht erteilt werden, wenn der Betroffene bereits über die Informationen verfüge. Auch eine Einschränkung, dass wiederholte Auskunftsbegehren nicht von Art. 15 DSGVO gedeckt seien, sah der BGH in seinem Urteil nicht.

Weiterhin entschied der BGH, dass auch Informationen aus internen Vorgängen des Verantwortlichen ebenfalls dem Auskunftsrecht unterfallen. Eine Ausnahme kommt jedoch bei internen Bewertungen in Betracht. So könnten beispielsweise rechtliche Analysen zwar personenbezogene Daten enthalten, die rechtliche Beurteilung selbst enthalte allerdings keine Informationen über Betroffene und ist mithin nicht von Art. 15 DSGVO umfasst. Auch hier orientiert sich der BGH an der Rechtsprechung des EuGH.

Verbraucherschützer mahnen Firmen wegen Cookie-Bannern ab

17. September 2021

Die Verbraucherzentralen in Deutschland haben knapp 100 Unternehmen abgemahnt, weil diese sich laut Verbraucherschützer rechtswidrig die Zustimmung zum Datensammeln beim Surfen im Web erschlichen haben. Bei einer Untersuchung von 949 Webseiten hätten zehn Prozent der Firmen mit ihren Cookie-Bannern eindeutig gegen die Vorgaben des Telemediengesetzes und der Datenschutzgrundverordnung verstoßen, erklärte die Verbraucherzentrale Bundesverband (vzbv) am Freitag in Berlin.

Viele Cookie-Banner bewegen sich in der rechtlichen Grauzone

Bei der Aktion wurden Webseiten aus unterschiedlichen Branchen wie Reisen, Lebensmittel-Lieferdienste oder Versicherungen untersucht. Neben den eindeutig rechtswidrigen Bannern, gab es zudem viele Banner, die sich in einer rechtlichen Grauzone bewegten. „Die Banner wirkten auf den ersten Blick zulässig, versuchten aber durch Tricks, die Entscheidung der Seitennutzer und Nutzerinnen zu lenken.“

Die Verbraucherschützer haben 98 Abmahnungen wegen klarer Verstöße gegen das TMG und die DSGVO verschickt. In zwei Drittel der Fälle hätten die Unternehmen inzwischen eine Unterlassungserklärung abgegeben.

Auftakt Cookie-Aktion

Cookies sind kleine Datensätze, die Webseiten hinterlegen, um die Nutzerinnen und Nutzer identifizierbar zu machen. Mit ihrer Hilfe können individuelle Profile erstellt werden, die weitreichende Rückschlüsse über Surfverhalten, Vorlieben und Lebensgewohnheiten zulassen. Dieses Wissen wird dann etwa für personalisierte Werbung herangezogen.

vzbv-Vorstand Klaus Müller sagte, rechtswidrige Cookie-Banner seien kein Kavaliersdelikt. „Die zunehmende Daten-Schnüffelei gefährdet die Privatsphäre der Verbraucherinnen und Verbraucher und führt zum durchleuchteten Bürger.“ Die Verbraucherzentralen und Verbände wollen in Zukunft verstärkt gemeinsam juristisch agieren, um gegen gravierende Probleme des Verbraucherschutzes oder offensichtliches Marktversagen anzugehen. Die Cookie-Abmahnaktion bildet dazu den Auftakt.

Aufsichtsbehörde: Faxversand ist unsicheres Kommunikationsmittel

Der hessische Datenschutzbeauftragte hat sich in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Damit schließt er sich der Meinung anderer Aufsichtsbehörden an, die das Fax ebenfalls als nicht mehr zeitgemäß und nicht datenschutzkonform einstufen.

Als Begründung führte er an, dass es mittlerweile eine Vielzahl an sichereren Methoden gebe, um Nachrichten auszutauschen wie z.B. der verschlüsselte E-Mail-Versand. Derzeit gleiche eine Übermittlung per Fax aber vielmehr einer unverschlüsselten E-Mail. Daran problematisch sei insbesondere, dass durch die Eingabe einer falschen Faxnummer personenbezogene Daten Unbefugten gegenüber offenbart werden. Aber auch bei der Eingabe einer korrekten Faxnummer könne nicht sichergestellt werden, wer das Fax am anderen Ende in Empfang nehme. Dadurch ergeben sich Risiken für die Rechte und Freiheiten natürlicher Personen, die mit der DSGVO nicht in Einklang stehen.

Die DSGVO schreibt bestimmte Anforderungen vor, die es bei der Verarbeitung personenbezogener Daten zu berücksichten gilt. Dazu gehört gem. Art. 5 Abs. 1 lit. f DSGVO auch, dass die Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit einschließlich dem Schutz vor unbefugter Verarbeitung und unbeabsichtigtem Verlust gewährleistet. Die Einhaltung geeigneter technischer und organisatorischer Maßnahmen (vgl. Art. 32 DSGVO) spiele dabei eine zentrale Rolle. Diese könnten bei dem Faxversand nicht eingehalten werden.

Daher empfiehlt der hessische Datenschutzberauftragte grundsätzlich keine personenbezogenen Daten per Fax zu übermitteln und auf digitale Lösungen umzustellen. Nur in Ausnahmefällen z.B. aufgrund einer besonderen Eilbedürftigkeit und wenn zusätzliche Schutzmaßnahmen bei den Versendern und Empfängern getroffen worden sind, sollte auf das Faxgerät zurückgegriffen werden. Personenbezogene Daten, die besonders sensibel sind und damit einen hohen Schutzbedarf aufweisen, sollten gar nicht per Fax übermittelt werden.

Auf alternative Kommunikationsmittel verweist der Landesdatenschutzbeauftragte in seiner Stellungnahme. Um mit gutem Vorbild voranzugehen, führt seine Behörde keine Faxnummern mehr auf der Homepage.

TikTok im Fokus der irischen Datenschutzbehörde

16. September 2021

Die umstrittene chinesische App steht schon lange wegen ihrer datenschutzrechtlichen Praktiken in der Kritik. In den USA erhielt TikTok bereits Millionenstrafen für die Datenschutzrechtsverletzungen von Kindern und Jugendlichen. Nun hat auch die irische Datenschutzbehörde DPC Ermittlungen in zwei Fällen aufgenommen. Zum einen gehe es um die Verarbeitung von persönlichen Daten von Kindern und Jugendlichen und zum anderen um die Weitergabe von Daten nach China, ließ die DPC verlautbaren.

Gegenstand der Untersuchungen

Im Fokus der Untersuchungen steht, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Datenschützer:innen kritisieren unter Anderem, dass TikTok seine Nutzer nicht eindeutig und vor allem nicht in einer für Kinder und Jugendliche verständlichen Weise darüber informiere, welche personenbezogenen Daten zu welchem Zweck und aus welchem Rechtsgrund erhoben werden. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking- und in China müsse man mit einem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen, so Datenschutzrechtler.

Streit um die Zuständigkeit

Dass die irische Datenschutzbehörde nun ermittelt, ist keinesfalls selbstverständlich, hatte sie doch noch im letzten Jahr vehement ihre Zuständigkeit abgestritten. Im letzten Jahr hatten Dänemark, die Niederlande und Frankreich Untersuchungen gegen TikTok wegen möglicher Datenschutzverletzungen eingeleitet. Gibt es keinen zentralen EU-Sitz, können schließlich Datenschutzbehörden in jedem EU-Land eigenständig ermitteln. Dann hatte TikTok jedoch einen zentralen europäischen Sitz in Datenschutzangelegenheiten in Irland angekündigt. Gegen die Niederlassung von TikTok in Irland hatte sich die DPC lange Zeit gewehrt und bezweifelt, dass sich TikTok wirklich dauerhaft in Dublin niederlassen würde- während TikTok andere Datenschutzbehörden bereits auf die Hauptniederlassung in Irland verwiesen hatte. Für TikTok war dies zweifelsohne eine begrüßenswerte Situation.

Nun besteht Klarheit bezüglich der Zuständigkeit der irischen Datenschutzbehörde. Sie hat damit ein weiteres Verfahren von immenser Tragweite und Bedeutung neben denen gegen Facebook, Google und Twitter zu bewältigen. Viele befürchten aufgrund mangelnder Ressourcen und Personal, dass auch im Verfahren gegen TikTok die Untersuchung und Ahndung von etwaigen Datenschutzverletzungen nur schleppend vorangehen wird.

EuGH verhandelt zur deutschen Vorratsdatenspeicherung

15. September 2021

Am 13.09.2021 begann vor der großen Kammer des Europäischen Gerichtshofes (EuGH) die mündliche Verhandlung zur Vorratsdatenspeicherung in Deutschland. Ausgangspunkt dafür war ein Rechtsstreit zwischen der Bundesnetzagentur und der Telekom sowie dem Internetanbieter SpaceNet. Telekom und SpaceNet wehren sich gegen die § 113a Abs. 1 i.V.m. § 113b Telekommunikationsgesetz (TKG), die die Vorratsdatenspeicherung regeln. Nach diesen Vorschriften sollen bestimmte Daten über Kunden aufbewahrt werden, falls Polizei- und Strafverfolgungsbehörden darauf Zugriff benötigen. Bei diesen Daten handelt es sich nicht um Gesprächsinhalte, sondern um IP-Adressen, Verbindungs- und Standortdaten. Der Rechtsstreit ist momentan beim Bundesverwaltungsgericht (BVerwG) anhängig. Das BVerwG stellte sich die Frage, ob eine solche Regelung mit Unionsrecht vereinbar sein kann und legte die Regelung dem EuGH zur Kontrolle vor. Die Pflicht zur Speicherung ist in Deutschland seit einem Urteil des Oberverwaltungsgerichts Münster im Jahr 2017 durch die Bundesnetzagentur ausgesetzt, sodass eine Vorratsdatenspeicherung im Sinne dieser Normen momentan nicht stattfindet.

Die Vorratsdatenspeicherung ist in Europa schon seit Jahren ein umstrittenes Thema. Erst im Oktober 2020 urteilte der EuGH, dass die damals vorgelegten Regelungen zur Vorratsdatenspeicherung unzulässig sei. Die damaligen Regelungen kamen aus Frankreich, Belgien und Großbritannien. Sie sahen eine pauschale Vorratsdatenspeicherung vor. Der EuGH stellte damals fest, dass eine anlasslose Speicherung nur ausnahmsweise dann zulässig sein könne, wenn dieses zur Bekämpfung schwerer Kriminalität oder einer konkreten Bedrohung der nationalen Sicherheit notwendig sei.

Die EU-Mitgliedsstaaten, sowie die EU-Kommission setzen sich seit Jahren für eine Vorratsdatenspeicherung ein, da dies die Aufklärung schwerer Kriminalität erleichtern kann. DatenschützerInnen sind hingegen um die Sicherheit der gespeicherten Daten besorgt und darüber, dass Daten von jedem Bürger gespeichert werden sollen, nicht nur von strafrechtlich Auffälligen. Einen Kompromiss könnte der EuGH in dem erwarteten Urteil z.B. mit kürzeren Speicherfristen finden. Auch über das sogenannte “quick freeze” wird nachgedacht, ein anlassbezogenes rasches Einfrieren von Verbindungsdaten.

Gleichzeitig mit der deutschen Vorratsdatenspeicherung wird der EuGH auch über Fälle aus Irland und Frankreich entscheiden. Mit einem Urteil kann frühestens ab Februar 2022 gerechnet werden.

1 17 18 19 20 21 39