Kategorie: DSGVO

BfDI legt Tätigkeitsbericht für 2022 vor

17. März 2023

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Professor Ulrich Kelber hat am 15. März 2023 den Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin spricht er insgesamt zehn Empfehlungen aus und befasst sich mit den verschiedenen Schwerpunktthemen.

Zahl der gemeldeten Verstöße nimmt zu

2022 gingen 10.658 Meldungen beim BfDI ein, das sind gut fünf Prozent mehr als im Vorjahr. Bürgerinnen und Bürger wendeten sich mit 6.619 Beschwerden und Anfragen an die Behörde. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) sei eine leicht fallende Tendenz in dieser Hinsicht zu beobachten. Der BfDI führt dies „auch auf die intensive Beratung z. B. bei Jobcentern und Finanzämtern zurück, die zur Verbesserung der Verarbeitungsprozesse und damit zu weniger Beschwerden geführt haben“ (S. 111).

Elektronische Patientenakte, Facebook-Fanpage, künstliche Intelligenz und mehr

Der Tätigkeitsbericht deckt zahlreiche Themenfelder ab. Viele davon sind und waren auch Teil der öffentlichen Debatte. So hält der BfDI das viel diskutierte Opt-Out-Verfahren bei der elektronischen Patientenakte grundsätzlich für möglich, sieht allerdings keine Erforderlichkeit, von der derzeitigen Opt-In-Lösung abzuweichen.

Auch die Anweisung gegenüber dem Bundespresseamt, den Betrieb von Facebook-Fanpages einzustellen, ist Teil des Tätigkeitsberichts. Nach Ansicht des BfDI ist ein datenschutzkonformer Betrieb nicht möglich. Inzwischen hat das Bundespresseamt beim Verwaltungsgericht Köln erhoben. Es ist der Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind“.

Der Einsatz von künstlicher Intelligenz (KI) wird im Tätigkeitsbereich an verschiedenen Stellen aufgegriffen. So empfiehlt der BfDI der Bundesregierung den Erlass eines Beschäftigtendatenschutzgesetzes, „in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden“. Zudem äußert er sich kritisch gegenüber der von der Europäischen Union geplanten Chat-Kontrolle. Diese biete „kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“ (S. 45).

 

Immer Ärger mit TikTok

15. März 2023

TikTok: eine harmlose Plattform für Jugendliche zum Teilen unterhaltsamer Videos mit dem Wunsch viral zu gehen oder eher eine Gefährdung für Regierungen und Gesellschaften? Zwei Standpunkte, die nicht weiter entfernt voneinander sein könnten. Eine Plattform mit mehr als einer Milliarden Nutzer*innen weltweit sorgt bei mehreren Anlaufstellen für Bauchschmerzen. Darunter ist die EU-Kommission sowie das Federal Bureau of Investigation (FBI). Selbst der ehemalige Präsident der Vereinigten Staaten, Donald Trump, wollte den Dienst vollends verbieten.

Über TikTok

Mit mehr als einer Milliarde Nutzer*innen ist die Plattform im Weltweiten Ranking lediglich auf Platz vier. Zur Veranschaulichung der Nutzerzahlen ist Meta (ehemalig Facebook) mit 2,9 Milliarden Nutzer*innen auf dem ersten Platz. Hinter dem Dienst steht das chinesische Unternehmen ByteDance. Zu den Problemfeldern zählt insbesondere der nach westlichen Standards mangelnde Daten- und Jugendschutz, eine umfangreiche politische Zensur, die Verbreitung von Fake News, Werbung für Fake-Markenartikel, betrügerische Inhalte bis hin zu möglicher Spionage des chinesischen Staates durch die Auswertung von Nutzerprofilen. Verantwortliche Sprecher*innen des Dienstes streiten nach autokratischem Muster alle Anschuldigungen immer wieder konstant ab.

Datenschutzrechtliche Bedenken

Mit einer Social-Media-App wie TikTok wird europaweit ein kaum vorstellbares Maß an personenbezogenen Daten generiert. Fraglich ist an dieser Stelle natürlich, wie mit diesen Daten verfahren wird und wer am Ende wirklich Zugriff auf diese haben könnte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert Bedenken gegenüber TikTok eher zurückhaltend. So erklärt das BSI, dass sich mit dem Aufstieg des Dienstes auch immer wieder warnende Stimmen zu Wort melden, die einen Abfluss der Benutzerdaten nach China befürchteten. China, ein Land ohne Angemessenheitsbeschluss.

Bringt der Digital Services Act die Lösung?

Das neue EU-Gesetz ermöglicht ggf. ein Verbot. EU-Kommissar Thierry Breton äußerte sich folgendermaßen dazu: „Wir werden nicht zögern, alle möglichen Sanktionen zu beschließen, wenn Prüfungen nicht die volle Einhaltung erkennen lassen“. Der Digital Services Act (DSA) wird ab dem 1. September dieses Jahres für große Plattformen anwendbar sein. Es bleibt abzuwarten, wie scharf das Schwert des DSA sein wird. Eine drastische Anpassung der internationalen Tech-Giganten an europäische Standards würde wohl von mehreren Stellen begrüßt werden.

 

EuGH Entscheidung: Beweislast bei unrichtigen Daten

13. März 2023

In der Entscheidung C-460/20 vom 8.12.2022 hat der Europäische Gerichtshof (EuGH) darüber entschieden, wer die Beweislast trägt, wenn eine Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt. Mit anderen Worten, die Entscheidung klärt, wer beweisen muss, ob ein solcher Antrag gerechtfertigt ist oder nicht.

Die Entscheidung des EuGH

Die Argumente des EuGH zur Beweislast in Bezug auf Artikel 17 der Datenschutz-Grundverordnung (DSGVO) sind von großer Bedeutung für die Praxis. Insbesondere ging es darum, wer die Beweislast im Rahmen der Ausnahmevorschrift des Artikels 17 Absatz 3 Buchstabe a DSGVO trägt, wenn eine betroffene Person die Löschung von bestimmten Daten beantragt und behauptet, dass diese unrichtig seien.

Der EuGH stellte fest, dass die betroffene Person den Nachweis erbringen muss, dass die Informationen offensichtlich unrichtig sind oder zumindest ein nicht unbedeutender Teil davon offensichtlich unrichtig ist, um den Löschungsantrag zu rechtfertigen. Jedoch darf die Beweislast nicht zu einer übermäßigen Belastung führen, die das Recht auf Löschung beeinträchtigt. Die betroffene Person kann daher nicht gezwungen werden, eine gerichtliche Entscheidung gegen den Betreiber der Website zu erlangen.

Auf der anderen Seite kann der Verantwortliche für die Datenverarbeitung nicht dazu verpflichtet werden, den Sachverhalt zu ermitteln und eine kontradiktorische Debatte mit dem Anbieter der Inhalte zu führen. Der EuGH ist der Meinung, dass der Verantwortliche nicht aktiv an der Suche nach Tatsachen mitwirken muss, die den Löschungsantrag nicht unterstützen, um zu prüfen, ob der Antrag gerechtfertigt ist.

Auf Art. 16 DSGVO übertragbar?

Die Entscheidung des Bundesverwaltungsgerichts (BVerwG) im März 2022 betraf einen Fall, in dem eine betroffene Person die Berichtigung von Daten nach Artikel 16 DSGVO beantragt hatte. Das Gericht betonte, dass die objektive Wirklichkeit der Maßstab für die Qualifizierung eines Datums als “richtig” oder “unrichtig” im Sinne von Artikel 16 Satz 1 DSGVO ist. Es wurde auch festgestellt, dass Artikel 5 Absatz 2 DSGVO eine spezifische Bestimmung enthält, wer die Beweislast für die Richtigkeit des neu einzutragenden Datums trägt, wenn die Einhaltung der Grundsätze des Artikels 5 Absatz 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.

Das Gericht entschied, dass im Falle eines Berichtigungsanspruchs, bei dem die Richtigkeit des Datums umstritten ist, die Nichterweislichkeit der Richtigkeit des Datums zu Lasten der betroffenen Person geht. Wenn die Beweislast für die Richtigkeit des Datums beim Verantwortlichen liegt, muss er zukünftig nachweisen, dass ein von ihm verarbeitetes Datum richtig ist. Wenn jedoch die betroffene Person nicht nachweisen kann, dass das Datum unrichtig ist, kann der Verantwortliche nicht verpflichtet werden, das von der betroffenen Person genannte Datum einzutragen und weiterzuverarbeiten.

Fazit

Beide Entscheidungen enthalten relevante Klarstellungen zur Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit solchen Anfragen konfrontiert sind, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen oder löschen müssen, an den Gründen dieser Entscheidungen orientieren.

Ist Schufa-Scoring eine automatisierte Entscheidung nach Art. 22 Abs. 1 DSGVO?

9. März 2023

Handelt es sich bei der Erstellung eines Scoring-Wertes durch die deutsche Wirtschaftsauskunftei „Schufa“ um eine automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutz-Grundverordnung (DSGVO)? Unter anderem diese Frage möchte das VG Wiesbaden im Rahmen des Vorabentscheidungsersuchens (Rs. C-634/21) vom Europäischen Gerichtshof (EuGH) beantworten lassen. Zu diesem Zweck verhandelt der EuGH derzeit und wird voraussichtlich in diesem Jahr eine Entscheidung erlassen.

Scoring

Hintergrund der Entscheidung ist das Scoring der Klägerin, das Anlass für ein Kreditinstitut gewesen sei, die Vergabe eines Kredites zu untersagen. Mit Hilfe des Scorings legt die Schufa einen Wahrscheinlichkeitswert fest. Dieser bestimmt die Fähigkeit einer Person, künftige Kredite oder Verträge einzuhalten und zurückzuzahlen. Hierzu verwendet die Schufa ein mathematisch-statistisches Verfahren. Die betroffene Person wird dabei auf Grund verschiedener Merkmale einer Personengruppe zugeordnet. Aufgrund von Erfahrungswerten ordnet die Schufa den entsprechenden Personengruppen ein erwartbares Verhalten zu. Die Kreditwürdigkeit der betroffenen Person richtet sich folglich nach der Personengruppe, der sie zugeordnet wird.

Dabei ist allerdings unklar, welche Merkmale die Schufa zur Berechnung der Bonität und welches mathematisch-statistische Verfahren sie verwendet.

Automatisierte Entscheidung

Aus Sicht des VG Wiesbaden ist fraglich, ob die Feststellung des Wahrscheinlichkeitswertes, eine automatisierte Entscheidung, bzw. sog. Profiling iSd Art. 22 Abs. 1 DSGVO darstellt. In diesem Fall sei das Scoring an den Voraussetzungen der Art. 22 Abs. 2 lit. b DSGVO iVm § 31 BDSG zu messen.

Das Gericht stellte zunächst fest, dass mit der Feststellung des Wahrscheinlichkeitswertes die Schufa eine eigenständige Entscheidung treffe. Diese beschließe die Schufa als Verantwortlicher iSd Art. 4 Abs. 7 DSGVO. Insoweit bereite die Schufa nicht lediglich die Entscheidung eines Dritten durch vorbereitendes Profiling vor. Stattdessen diene die Entscheidung der Schufa als Grundlage der Entscheidung eines Dritten. Dabei gebe die Schufa den Scoring-Wert ohne Handlungsempfehlung weiter, sodass Kreditinstitute oder andere Einrichtungen über die Begründung, Durchführung und Beendigung eines Vertragsverhältnisses entscheiden könnten.

Darüber hinaus verarbeite die Schufa die personenbezogenen Daten der betroffenen Person so, dass „diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ iSd Art. 4 Nr. 4 DSGVO. Folglich liege hier das sog. Profiling und somit eine automatisierte Entscheidung iSd Art. 22 DSGVO vor. Insoweit sei es ausschlaggebend, dass unter dem Profiling nach Erw.Gr. 71 S. 2 DSGVO auch „die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien.“ (VG Wiesbaden, Vorabentscheidungsersuchen, Rs. C-634/21, Rn.19).

Fazit

Demnach sei nach Ansicht des Gerichts, soweit das Scoring unter Art. 22 DSGVO falle, eine eigenständige Rechtsgrundlage nach 22 Abs. 2 lit. b DSGVO erforderlich. Aus Sicht des Gerichts komme grundsätzlich § 31 BDSG hierfür in Betracht.

Sind IP-Adressen immer personenbeziehbar?

7. März 2023

Der Schutz von IP-Adressen gewinnt in der datenschutzrechtlichen Praxis zunehmend an Bedeutung, insbesondere bei der Einbindung von Drittdiensten in Webseiten und der Nutzung von IP-Adressen im Zensus 2022. Es wird jedoch oft pauschal angenommen, dass dynamische IP-Adressen personenbeziehbar sind, was nicht zwingend der Fall ist. Es wird unterstellt, dass dynamische IP-Adressen personenbeziehbar nach Art. 4 Nr. 1 DS-GVO seien. Findet sich eine Begründung, wird auf das Urteil des EuGH in der Rs. Breyer verwiesen.

Da IP-Adressen bei jeder Internet-Kommunikation unvermeidlich sind und ihre Bedeutung mit dem Auslaufen von cookiebasiertem Tracking weiter zunehmen wird, ist es wichtig, den angeblichen Personenbezug von dynamischen IP-Adressen kritisch zu hinterfragen.

Was steht in der DS-GVO?

Im Gesetzestext der DS-GVO wird nicht explizit auf IP-Adressen eingegangen, jedoch werden sie im Erwägungsgrund 30 erwähnt, wo deutlich wird, dass sie nur in Kombination mit anderen Informationen einen Personenbezug ermöglichen können. Nach Erwägungsgrund 26 sollen dabei nur Zusatzinformationen berücksichtigt werden, die “nach allgemeinem Ermessen wahrscheinlich genutzt werden”, wobei objektive Faktoren wie Kosten und Zeitaufwand zu berücksichtigen sind. Der europäische Verordnungsgeber betrachtet den möglichen Personenbezug von IP-Adressen also differenziert.

Rechtsprechung und Aufsichtsbehörden undifferenziert

In einigen Fällen gehen Gerichte und Datenschutzaufsichtsbehörden reflexartig davon aus, dass eine IP-Adresse einen Personenbezug hat. Zum Beispiel hat das LG München I in einem Fall, der die Google-Fonts-Abmahnwelle ausgelöst hat, entschieden, dass die dynamische IP-Adresse für einen Webseitenbetreiber ein personenbezogenes Datum darstelle, unabhängig davon, ob auch Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen. Ähnlich haben auch andere Gerichte im Zusammenhang mit dem Zensus 2022 entschieden. Deutsche Datenschutzaufsichtsbehörden haben seit vielen Jahren die Ansicht vertreten, dass IP-Adressen stets personenbezogene Daten darstellen, und geben in der Regel keine Begründung dafür an. Dies ist auch in der finalen Fassung der DSK-Orientierungshilfe Telemedien der Fall.

Das Breyer-Urteil des EuGH

Das Urteil des EuGH in der Rs. Breyer aus dem Jahr 2016 wurde von vielen als bahnbrechend angesehen, da es den Personenbezug von IP-Adressen anerkannte. Dieses Urteil wurde jedoch oft missverstanden und es ist weniger klar und differenzierter, als es oft angenommen wurde. Der EuGH wurde von der Vorlagefrage des BGH geleitet, die sich auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber bezieht. Der BGH wollte wissen, ob eine IP-Adresse, die von einem Webseitenbetreiber im Zusammenhang mit einem Zugriff auf seine Webseite gespeichert wird, als personenbezogenes Datum anzusehen ist, wenn der Internetzugangsanbieter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

Die Vorlagefrage des BGH war relativ eng und bezog sich nur auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber, die diese selbst erhoben haben. Es wurde unterstellt, dass der Internetzugangsanbieter über das erforderliche Zusatzwissen verfügt, um die betroffene Person zu identifizieren. Allerdings blieb die Vorlagefrage unklar, da es unklar war, ob mit der “betroffenen Person” der Inhaber des Internetanschlusses oder der konkrete Nutzer gemeint war, der die betreffende Webseite aufgerufen hatte. In der Praxis fallen diese Gruppen oft auseinander, zum Beispiel bei offenen WLAN-Netzwerken oder wenn sich mehrere Familienmitglieder oder WG-Bewohner einen Internetanschluss teilen.

Es war unklar, ob der BGH den Anschlussinhaber oder den konkreten Nutzer im Sinn hatte, was zu einer Uneinigkeit zwischen dem BGH und dem EuGH führte. Der EuGH interpretierte die Vorlagefrage offenbar dahingehend, dass die “betroffene Person” der Nutzer sei, der die Webseite abgerufen hat. Es scheint, als hätten der BGH in seinem Vorlagebeschluss und der EuGH in seinem Urteil in dieser entscheidenden Frage aneinander “vorbeigeredet”.

Die Frage der Zugänglichkeit der Zusatzinformationen war ebenfalls ein strittiger Punkt zwischen dem BGH und dem EuGH. Der BGH erwähnte in seinem Vorlagebeschluss, dass dem Webseitenbetreiber kein direkter Auskunftsanspruch gegenüber dem Internetzugangsbetreiber zustehe und dass die Zusatzinformationen des Internetzugangsanbieters für den Webseitenbetreiber als nicht zugänglich anzusehen seien. Der EuGH war jedoch der Ansicht, dass es für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten gebe, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Das Urteil des EuGH betont, dass die Identifizierung “praktisch durchführbar” sein müsse.

Insgesamt war das Urteil des EuGH in der Rs. Breyer weniger klar und differenzierter als oft angenommen. Es gibt immer noch offene Fragen bezüglich des Personenbezugs von IP-Adressen und der Zugänglichkeit von Zusatzinformationen.

Fazit

Das Breyer-Urteil des Europäischen Gerichtshofs (EuGH) hat zu einer umfangreichen Diskussion darüber geführt, ob dynamische IP-Adressen als personenbezogene Daten zu betrachten sind. In diesem Zusammenhang ist es wichtig zu betonen, dass das Urteil des EuGH auf den Kontext des Vorlagebeschlusses beschränkt ist und lediglich eines von vielen praktischen Szenarien betrifft, in denen IP-Adressen eine Rolle spielen. Die Entscheidung ist somit mit Vorsicht zu genießen. Eine Übertragung auf die Identifizierbarkeit des konkreten Nutzers erscheint zweifelhaft, wenn dieser nicht zugleich der Anschlussinhaber ist.

Das Urteil ist nicht ohne Einzelfallprüfung auf Situationen übertragbar, in denen IP-Adressen von anderen Verantwortlichen als dem Webseitenbetreiber verarbeitet werden. Ob auch Drittanbietern nach deutschem Recht die rechtlichen Auskunftsansprüche zustehen, haben weder der Bundesgerichtshof noch der EuGH entschieden. Auch die Frage, ob derartige Ansprüche nach anderen anwendbaren Rechtsordnungen bestehen, wenn die Drittanbieter außerhalb Deutschlands sitzen, ist offen. Die Möglichkeit für Drittanbieter, den Personenbezug auf Grundlage eigener Zusatzinformationen herzustellen, kann nicht einfach unterstellt werden, sondern muss im Einzelfall begründet werden. Erhebliche Zweifel am Personenbezug von IP-Adressen bestehen daher auch beim sog. „Server Side Tracking“.

In Konstellationen, in denen IP-Adressen in anderem Kontext als einem http-Request verarbeitet werden, liegt ein Personenbezug noch ferner. Eine Identifizierbarkeit ist kaum mehr denkbar, wenn die Stelle, die IP-Adressen verarbeitet, nicht über die bei einem http-Request übermittelten weiteren Informationen verfügt. Somit ist eine fundierte Begründung notwendig ist, um festzustellen, ob dynamische IP-Adressen personenbezogene Daten darstellen. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.

Klar ist, dass die Frage, ob dynamische IP-Adressen personenbezogene Daten darstellen, stets einer fundierten Begründung bedarf. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.

Europäischer Datenschutzbeauftragter schließt Rahmenvertrag für Nutzung von Nextcloud und LibreOffice in EU-Institutionen

28. Februar 2023

Wie der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski bekanntgab, hat seine Behörde einen Rahmenvertrag mit einem in der EU ansässigen Dienstleister der Open Source-Software Nextcloud und LibreOffice geschlossen.

Datenschutzkonforme Gesamtlösung für EU-Einrichtungen

Mit Nextcloud und LibreOffice können in einer gesicherten Cloud-Umgebung beispielsweise Dateien ausgetauscht, Nachrichten versendet oder auch Videoanrufe getätigt werden. Der gewählte Dienstleister ist in der EU ansässig und nach Aussage des EDSB für alle Organe, Einrichtungen, Ämter und Agenturen der EU zugänglich. Dabei sei die Einhaltung des Datenschutzrechts sowie weiterer spezieller Vorschriften gewährleistet.

Vermeidung von Drittlandstransfers und Unterauftragsverarbeitern

Anders als bei anderen Anbietern sei hier gewährleistet, dass keine Datenübertragung in Nicht-EU-Länder stattfinde. Zudem werde der Einsatz von Unterauftragsverarbeitern vermieden. Der Rahmenvertrag soll damit eine bessere Kontrolle über personenbezogene Daten ermöglichen. Dabei möchten die EU-Institutionen mit gutem Beispiel vorangehen, um digitale Rechte zu schützen und Daten verantwortungsvoll zu verarbeiten.

Alternative zu Microsoft und co.

Bisher bestanden und bestehen vor allem Verträge mit Microsoft für die Office-Produkte in den EU-Institutionen. Bereits 2020 hatte der EDSB deren Einsatz als problematisch eingeordnet. Auch in Deutschland haben die Datenschutzbehörden erhebliche Bedenken gegenüber dem Einsatz der cloudbasierten Microsoft-Produkte geäußert und zuletzt im Rahmen der Datenschutzkonferenz einen datenschutzkonformen Einsatz von Microsoft 365 in öffentlichen Stellen für nicht möglich erachtet. Problematisch ist hier insbesondere, dass Verantwortliche unter Umständen keine Kontrolle über Datentransfers haben.

Vorbild für den nichtöffentlichen Bereich?

Auch im nichtöffentlichen Bereich stellt sich oft die Frage nach datenschutzkonformen Cloud-Lösungen. Hier könnte der Rahmenvertrag des EDSB ein Vorbild sein. Jeder nach dem Datenschutzrecht Verantwortliche muss sich schließlich damit auseinandersetzen, ob die von ihm gewählten Programme datenschutzkonform nutzbar sind. Dabei kann es helfen, solche zu nutzen, die vom EDSB als datenschutzkonform eingeordnet werden. Allerdings ist in jedem Fall eine Einzelfallabwägung erforderlich, die die eigenen Bedürfnisse und Risiken für die Daten berücksichtigt.

EU-Ausschuss lehnt Angemessenheit des EU-US-Datenschutzrahmens in Entwurf einer Stellungnahme ab

17. Februar 2023

Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.

Rechtsverletzungen und zu große Unsicherheit

In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.

Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.

Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.

Fazit und Ausblick

Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.

Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.

Datenpanne bei Aktivistengruppe “Letze Generation”

14. Februar 2023

Anfang Februar kam durch Recherchen der Reporter von Welt am Sonntag ein beachtliches Datenleck ans Licht. Es handle sich um Listen, welche ausführliche Informationen über Aktivistinnen und Aktivisten der Gruppierung „Letze Generation“ abbildeten. 

Sachverhalt 

Wer in einer deutschen Großstadt lebt und dennoch regelmäßig auf die Mobilität eines Autos angewiesen ist, könnte eventuell schon einmal auf die Aktivistinnen und Aktivisten gestoßen sein. Diese bekommen seit längerem eine hohe mediale Aufmerksamkeit für Protestaktionen, bei denen Beteiligte ihre Hände auf wichtigen Verkehrsknotenpunkten auf der Straße festkleben. Dies führt immer wieder zu sehr langen und ungemütlichen Staus für Autofahrerinnen und Autofahren. In Bezug auf die kürzliche Datenpanne, sind die Aktivistinnen und Aktivisten im Kontext der DSGVO in diesem Fall allerdings eher metaphorisch geleimt. Berichten nach sollen personenbezogene Daten von mehr als 2200 Beteiligten über Google Drive zugänglich gewesen sein. 

Spannungsfeld 

Grundsätzlich ist jede Datenpanne von Verantwortlichen durch präventive technisch- organisatorische Maßnahmen zu verhindern. Das Reporter sich Zugriff zu solchen Listen verschaffen können, stellt ein Negativbeispiel für die von Verantwortlichen zu treffenden Maßnahmen dar. 

Besondere Kategorien personenbezogener Daten 

Die Google Drive Listen enthielten neben Namen, Telefonnummern sowie der bloßen Bereitschaft für Protestaktionen ins Gefängnis zu gehen, vereinzelt wohl auch Gesundheitsdaten zu geistigen Gemütszuständen. Jedoch sind die Gesundheitsdaten nicht die einzigen personenbezogenen Daten einer besonderen Kategorie i. S. d. Art. 9 Abs. 1 DSGVO. Die gesamte Liste stellt bereits ein sensitives Datum dar. Einzig die Namensnennung klärt schließlich schon über die politische Meinung auf. Es bleibt abzuwarten, wie die zuständige Datenschutzaufsichtsbehörde diesen Fall behandeln wird. 

Cookie-Banner bald nicht mehr irreführend?

30. Januar 2023

Ein Arbeitskomitee des Europäischen Datenschutzausschusses (EDSA) hat einen Bericht über Cookie-Banner vorgelegt. Wenn die Datenschutzbehörden diesen Bericht umsetzen, könnten irreführende Cookie-Banner bald Geschichte sein.

Der Bericht regelt auch die Anwendung der ePrivacy Richtlinie und dessen nationalen Umsetzungen, wie dem TTDSG in Deutschland, da es im Anwendungsbereich der Richtlinie keinen einheitlichen Mechanismus gibt. Das bedeutet, dass die Aufsichtsbehörden nicht verpflichtet sind, bei grenzüberschreitenden oder EU-weiten Verarbeitungen eine europaweite Absprache vorzunehmen. Der Bericht bietet jedoch eine abgestimmte Positionierung zu einigen Aspekten, was aus Sicht der Praxis von Vorteil ist.

Abgrenzung ePrivacy Richtlinie und DSGVO

Die Aufsichtsbehörden klären im Bericht das Verhältnis zwischen der ePrivacy Richtlinie und der DSGVO. Sie stellen fest, dass für die Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen auf dem Gerät eines Nutzers stattfinden, wie das Setzen oder Lesen von Cookies, die DSGVO als relevante Rahmengestaltung gilt.

Ablehnung von Cookies auf erster Ebene

Der Berichtsentwurf ist das Ergebnis einer Zusammenarbeit der Datenschutzbehörden im Rahmen des EDSA-Ausschusses für Cookie-Banner. Dieser Entwurf bestätigt bestehende Gesetze und legt eine Mindeststandards für die Bewertung von Cookie-Bannern fest. Viele nationale Richtlinien gehen jedoch weiter.

Laut dem Bericht des EDSA sollen folgenden Praktiken als rechtswidrig angesehen werden:

  • Fehlende Ablehn-Option auf derselben Ebene wie die Zustimmung
  • Bereits angekreuzte Kästchen anstelle einer aktiven Zustimmung
  • Eingebettete Textlinks zur Ablehnung
  • Links außerhalb des Cookie-Banner zur Verweigerung der Zustimmung
  • der Vorwand des berechtigten Interesses an der Installation nicht notwendiger Cookies
  • Keine permanente Möglichkeit, die Zustimmung zu widerrufen

Der EDSA verlangt – präzise formuliert – eine Möglichkeit, die Einwilligung bereits “auf der ersten Ebene” nicht zu erteilen. Dabei müssen Schaltflächen nicht eins zu eins gleich gestaltet sein. Die Ablehnungsmöglichkeit ist, wenn sie in einem Fließtext eingebettet besonders hervorgehoben und sich vom restlichen Text abhebt, wohl zulässig. Dafür genügt etwa Fettdruck, Unterstreichung oder eine andere Farbe.

Dagegen werden einige Fragen im Berichtsentwurf des EDSA nicht vollständig beantwortet. So hat die Taskforce beispielsweise keine Entscheidungen über irreführende Farben und Kontraste von Schaltflächen getroffen und auch nicht geklärt, wo ein gut sichtbarer und standardisierter Ort für die Widerrufserklärung liegen sollte. Die endgültige Version des EDSA-Berichts ist noch nicht veröffentlicht worden.

Die EU und ihre digitalen Ziele – Update

25. Januar 2023

Bereits 2021 hatte die Europäische Kommission eine Zielvorstellung für digitale Veränderungen in Europa präsentiert, die bis 2030 umgesetzt werden soll. Kurz gefasst sollen dadurch Kompetenzen, digitale Infrastruktur, Digitalisierung in Unternehmen und öffentlichen Diensten gestärkt werden.

Warum ist uns das besonders wichtig? Digitale Veränderungen beinhalten Chancen und Risiken – auch für den Datenschutz.

Die Ziele

Die Europäische Kommission hat ihre Ziele und Strategien im digitalen Kompass zusammengefasst. Ein zentrales Ziel sei unter anderem die digitale Souveränität Europas, die anhand folgender Kernpunkte erreicht werden sollen.

Eine digital befähigte Bevölkerung und hoch qualifizierte digitale Fachkräfte

Bis 2030 sollen etwa 20 Millionen Informations- und Kommunikationstechnologische Fachkräfte weitergebildet werden.

Sichere, leistungsfähige und tragfähige digitale Infrastrukturen

Alle europäischen Haushalte sollen Zugang zu einer Gigabit-Leitung und alle besiedelten Gebiete 5G erhalten. Der weltweit europäische Anteil am Halbleitermarkt soll verdoppelt und 10.000 klimaneutrale, hochsichere Randknoten in der EU errichtet werden.

Digitalisierung von Unternehmen

Die Digitaltechnik soll auf 75% der Unternehmen erhöht werden, indem sie Cloud-Computing, Big Data und künstliche Intelligenz in ihr Unternehmen integrieren

Digitalisierung öffentlicher Dienste

Ziel sei zum Beispiel, dass jeder europäischen Bürger Online-Zugang zu wesentlichen öffentlichen Diensten und ihren elektronischen Patientenakten bekommt

Folgen für den Datenschutz

Die Umsetzung der geplanten Ziele hat weitreichende Folge auf dem Gebiet des Datenschutzes. Es stellen sich diverse Herausforderungen für Verantwortliche.

Förderung von Datenschutzbeauftragten

Die Weiterentwicklung und Erhöhung digitaler Fachkräfte betrifft zum einen die Förderung von Datenschützern und deren Ausbildung. Zum anderen steigt der Bedarf an Sensibilisierung anderer Fachkräfte durch Datenschutzbeauftragte. Nimmt die Verbreitung digitaler Infrastruktur zu und erhöht sich der Stand der Digitaltechnik auf 75%, müssen sämtliche Bereiche ihre Kenntnisse im Datenschutz stärken, um der DSGVO gerecht werden zu können.

Der internationale Datentransfer

Digitale Infrastrukturen sind im Rahmen der digitalen Ziele und damit nicht zuletzt auch beim Datenschutz von Bedeutung. Insbesondere bei der Auftragsverarbeitung (Art. 28 DSGVO) wird auf Dienstleister zurückgegriffen, die Daten in der Cloud von Drittländern verarbeiten. Hier müssen die Bestimmungen des Art. 44 DSGVO beachtet werden, was häufig zu Herausforderungen in Verbindung mit Drittlandtransferprüfungen und Subdienstleistern führt. Im Zuge einer erweiterten digitalen Infrastruktur in der EU könnte eine Alternative zu Drittlandtransfers ausgebaut werden. Anfänge dafür sieht man z.B. an Projekten wie der EU Data Boundary von Microsoft.

Öffentliche und nicht-öffentliche Dienste

Die EU möchte auch die Digitalisierung der öffentlichen Dienste sowie den einfachen Zugang zu Patienten-/Bürgerakten, die sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, vorantreiben. An den Schnittstellen dieser Dienste wird eine große Menge von Daten zwischen öffentlichen Stellen und Privatpersonen aber auch nicht öffentlichen Stellen ausgetauscht werden. Vor allem an diesen Stellen herrscht ein hohes Risiko, welches mehr Aufwand wie unter Umständen eine Datenschutz-Folgenabschätzungen und damit das Einführen zusätzlicher Schutzmaßnahmen zur Folge haben kann.

Fazit

Im Ergebnis müssen, trotz der positiven Auswirkungen der Digitalisierung, dennoch die vielseitigen Risiken für den Datenschutz beachtet werden, damit die Digitalisierung Europas ein tatsächlicher Erfolg wird. Leider besteht bislang auf europäischer Ebene Uneinigkeit darüber, wie mit der Lösung dieser Probleme umgegangen werden soll und welche Schwerpunkte gesetzt werden müssen. Es bleibt abzuwarten, welche Gesetzgebungsvorhaben in Zukunft durchgesetzt werden, um das komplexe Zusammenspiel von Datenschutz und Bereichsregulierung zu ordnen.

1 5 6 7 8 9 39