Kategorie: EU-Datenschutzgrundverordnung

Albrecht: Datenschutz-Grundverordnung ist auf dem richtigen Weg

16. Oktober 2015

Einem Beitrag der International Association of Privacy Professionals (IAPP) zufolge, lieferte Jan Philipp Albrecht, stellvertretender Vorsitzender des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), grüne Europaabgeordnete und Berichterstatter im Rahmen der Verhandlungen zur Datenschutz-Grundverordnung, am 12. Oktober 2015 einen aktuellen Bericht zum Status Quo der Trilog-Verhandlungen zur Datenschutz-Grundverordnung. In diesem gab er bekannt, dass der Text zu Kapitel 5 (Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen) bereits finalisiert und die Kapitel II, III und IV (allgemeine Grundsätze, Betroffenenrechte und Regelungen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter) zumindest weitestgehend fertiggestellt seien. Sein Eindruck sei, dass insgesamt eine Einigung über – geschätzte – 70 bis 80 Prozent des Verordungstextes erzielt worden sei. Nichts desto trotz gäbe es noch offene, zumeist politische, Themen, auf die noch einmal zurückzukommen sei.

Insbesondere seien noch folgende Themen zu klären:

  • Die Form und die Bedingungen unter denen die betroffenen Personen eine Einwilligung zu erteilen haben.
  • Wie weit und auf welche Weise die Prinzipien der Datensparsamkeit und Datenvermeidbarkeit im Verordnungstext definiert und reguliert werden sollen.
  • Die konkrete Formulierung in Hinsicht auf die für die Betroffenen notwendigen und dem Transparenzgebot entsprechenden Informationen.
  • Die Rechte und Pflichten von verantwortlichen Stellen und Auftragsdatenverarbeitern, einschließlich der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten (Verpflichtung zur Bestellung); derzeit vertritt der Rat die Auffassung, die Entscheidung über eine verpflichtende Bestellung des Datenschutzbeauftragte den Mitgliedstaaten zu überlassen.

Trotz dieser noch offenen Themen ist Albrecht positiv gestimmt. Er gibt an, eine realistische Chance zu sehen, die Trilog-Verhandlungen – so wie vorgesehen – noch bis Ende dieses Jahres zu beenden. Bis November sollen nicht nur die genannten offenen Themen und Fragen geklärt, sondern es soll sich auch mit den Kapiteln VI und VII beschäftigt werden. Ein weiteres Problem, das noch in Angriff genommen werden muss, sei die Frage – so Albrecht – wie eine bessere und einheitlichere Durchsetzung der Regelungen erreicht werden könne. Auch hier seien sie jedoch zu einer baldigen Entscheidung in der Lage.

 

 

Datenschutz-Showdown mit den USA? Warum eine offene Konfrontation wenig hilfreich ist

Nach dem Safe-Harbor-Urteil des EuGH vom 06. Oktober 2015 tönt es im transatlischen Verhältnis wie in einem schlechten Western. Die USA reagieren verschnupft, die deutschen Behörden übertreffen sich untereinander gegenseitig mit immer neuen Forderungen und Einschätzungen. So stellt die Landesdatenschutzbeauftragte aus Schleswig-Holsteins, Marit Hansen in einem Interview mit dem Deutschlandfunk schon einmal in Frage, ob künftig Übermittlungen von Daten in die USA überhaupt noch zulässig sein sollen. Zwar vergisst sie zu erwähnen, dass es nicht in Ihre Zuständigkeit fällt, etwa die EU-Standardvertragsklauseln für hinfällig zu erklären, immerhin fordert sie aber Übergangsfristen.

Fraglich bleibt aber, was man erreichen will, wenn man solche Datentransfers wirklich untersagen möchte. Würde man das kurzfristig tun, könnte wohl die Mehrzahl der Unternehmen in Deutschland ihre Marketingabteilungen entlassen und wieder zur Kommunikation mit Rohrpost zurückkehren. Sicher – große Unternehmen wie Microsoft werden es wohl schaffen, ihre Datenbanken relativ kurzfristig nach Europa zu verlagern. Gerade dieses Unternehmen streitet sich aber momentan mit der US-Regierung, ob es nicht auch Daten aus Rechenzentren in Irland an US-Geheimdienste übergeben muss. Aber selbst wenn Europa hier einer harten Linie folgen sollte und US-Unternehmen sich offen gegen ihre Regierung stellen, erscheint es doch zumindest naiv zu glauben, Daten seien vor US-Behörden sicher, nur weil sie physisch in Europa lagern.

Bleibt aber die Frage, was denn passieren soll, wenn Microsoft, Google, Facebook und Co. nicht ihr komplettes Geschäftsmodell an die Vorstellungen der Europäer anpassen wollen. Man wird wohl mit Bußgeldern drohen – diese sollen ja nach der neuen EU-Grundverordnung durchaus schmerzhaft ausfallen (im Gespräch sind bis zu 5 % des weltweiten Jahresumsatzes). Vielleicht wird man es sogar schaffen, das ein oder andere Unternehmen komplett aus Europa zu vertreiben. Nur werden ihre Dienste und Produkte – sofern man nicht nach chinesischem Vorbild eine große Datenmauer um Europa errichten möchte – ja für europäische Nutzer über das Internet weiter verfügbar sein. Der Datenschutz und die Datensicherheit von EU-Bürgern würden sich also sicher nicht verbessern.

Hinzuweisen bleibt in diesem Zusammenhang auch auf das Beispiel „Recht auf Vergessen“ bei Google. Zwar entfernt Google Ergebnisse nun tatsächlich aus seinen europäischen Angeboten, auf den internationalen Seiten sind sie aber weiter zu finden. Jeder der sich auch nur etwas Mühe gibt, kann sie also weiter finden. An diesem Beispiel erkennt man sehr gut, dass es faktisch nicht zielführend ist, zu erwarten, dass die Welt am europäischen Wesen genesen möge.

Letztlich werden nur multinationale Lösungen auf politischer Ebene zu Erfolgen führen. Die EU hat durchaus, etwa im Hinblick auf Verhandlungen wie zu TTIP, Trümpfe in der Hand um die Amerikaner zu Zugeständnissen zu bewegen. Strafandrohungen und dergleichen werden wohl kaum zu einem Einlenken führen. Eine rethorische Abrüstung würde der Diskussion sicherlich gut tun, es ist nicht High Noon und wir werden unsere unterschiedlichen Anschauungen zum Datenschutz nicht durch Konfrontation lösen können.

„Daten sind der Rohstoff der Zukunft“

15. September 2015

So lautete die Kernaussage von Kanzlerin Angela Merkel beim ersten offenen Mitgliederkongress von CDUdigital, der am vergangenen Wochenende in Berlin stattgefunden hatte.
Die Kanzlerin und CDU-Vorsitzende betonte, wie wichtig die digitale Welt für den Exportriesen Deutschland sei. „Um den Wohlstand zu halten, muss Deutschland mit der Konkurrenz im Ausland Schritt halten“, sagte Merkel und meinte damit, dass hierzulande IT-Unternehmen nicht durch zu starres Reglement darin gehindert werden dürfen, die digitale Welt mitzubestimmen. Deutschland müsse auch im IT-Sektor in der Lage bleiben, Produkte herstellen zu können, die außerhalb unserer Landesgrenzen gefragt sein werden.

Merkel forderte dazu auf, nicht nur die Risiken der Digitalisierung zu fokussieren, sondern gerade auch die Chancen zu erkennen, schreibt heise online. Es gehe um einen „vernünftigen“ Schutz der Nutzerdaten, wird die Kanzlerin zitiert , der durch Rahmenbedingungen sichergestellt wird, ohne zugleich den Wirtschaftsstandort Deutschland in der digitalen Entwicklung zu bremsen. Wichtig ist, so Merkel, ein einheitlicher Rechtsrahmen innerhalb Europas, der eine Verarbeitung großer Datenmengen für Produktentwicklungen erlaubt. Nach Meinung der Kanzlerin dürfe die EU Grundverordnung deshalb nicht nur den Datenschutz in den Mittelpunkt stellen, sondern müsse auch Platz lassen für Handlungsspielräume und um Chancen nutzen zu können.

Frau Merkel zeigte in Ihrer Ansprache aber auch auf, wie wichtig es ist, beim Thema Digitalisierung in die Breite zu gehen. So betonte sie unter anderem, dass auch die digitale Infrastruktur und die Bildung wichtige Grundsteine darstellen, um die digitale Entwicklung sinnvoll voranzutreiben, und deshalb kontinuierlich ausgebaut werden müssen.

EU-Datenschutzgrundverordnung aktuell (4): Berufsverband der Datenschutzbeauftragten mahnt „Rote Linien“ an

4. September 2015

Der Berufsverband der Datenschutzbeauftragten in Deutschland (BvD) e.V. zieht mit Blick auf die derzeit noch immer laufenden Trilog-Verhandlungen in Brüssel fünf „Rote Linien zur EU-DSGVO“, welche die europäische Vorgabe nach Ansicht der Datenschützer in keinem Falle überschreiten dürfe:

1. Prinzipien der Speicherung:

Danach soll vor allem am Prinzip der Datensparsamkeit- und vermeidung („limited to the minimum necessary“) festgehalten werden, welches im gegenwärtigen Entwurf der Verordnung aufgeweicht wird („not excessive“).

2. Zweckbindung ohne Ausnahmen:

Unzweckmäßige Datenverarbeitung wie versteckte Datenbanken, ungewolltes Scoring, Datenhandel etc. darf nicht erlaubt, Artikel 6 Abs. 3a des Entwurfs muss gestrichen werden.

3. Profilbildung nur mit expliziter Zustimmung:

Sogenanntes Profiling – beispielsweise die Erstellung von individuellen Kauf- oder Bewegungsprofilen – darf nicht ohne Zustimmung des Betroffenen erlaubt sein (Opt-In), während Artikel 19 des Entwurfs nur die Möglichkeit eines Widerspruchs (Opt-Out) vorsieht, soweit das Profiling „erhebliche Auswirkungen“ für den Betroffenen bedeutet. An dieser Stelle befürchten die Datenschützer des BvD auch eine Aufweichung des Kopplungsverbots dahingehend, dass Verbrauchern, die einem Profiling widersprechen, Vertragsangebote oder Nutzungen von Diensten verwehrt bleiben.

4. Auskunftsrechte immer kostenfrei:

Das Auskunftsrecht als Teil des Grundrechts auf informationelle Selbstbestimmung darf nicht dadurch unterminiert werden, dass eine Auskunft nur gegen Gebühr erfolgt. Das sieht die Verordnung (Artikel 15) gegenwärtig – im Widerspruch zum Bundesdatenschutzgesetz – vor.

5. Datenportabilität ermöglichen:

Wenigstens die Mitnahme von Daten beim Wechsel eines Dienstanbieters sieht der Entwurf der Verordnung in Artikel 18 vor. Die Datenschützer des BvD fordern ein einheitliches, elektronisches Datenformat zu ntzen, dass es den Verbrauchern ermöglicht, ihre Daten beispielsweise voneinem sozialen Netzwerk in ein anderes „umzuziehen“.

Ob diese „Roten Linien“ wirklich nicht überschritten werden, darf freilich bezweifelt werden.

EU-Datenschutzgrundverordnung aktuell (3): Positionspapier der DSK

27. August 2015

Der Trilog zwischen Europäischem Parlament, Rat der Europäischen Union und Europäischer Kommission zu den Beratungen zu der EU-Datenschutzgrundverordnung geht in die „heiße Phase“. Daher hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) am gestrigen Tag ein Positionspapier veröffentlicht und darin diverse Nachbesserungen gefordert. Die EU-Datenschutzgrundverordnung müsse im Vergleich zum geltenden Rechtsstand einen verbesserten, mindestens aber dem bisherigen Standard gleichwertigen Grundrechtsschutz gewährleisten. Daher appelliert die DSK an die Trilogpartner, bei ihren Verhandlungen insbesondere zu berücksichtigen:

  • Die Datensparsamkeit muss Gestaltungsziel bleiben!
  • Es darf keine Aufweichung der Zweckbindung geben!
  • Die Einwilligung des Einzelnen muss die Datenhoheit sichern!
  • Die Rechte der Betroffenen dürfen nicht eingeschränkt werden!
  • Die Profilbildung muss wirksam begrenzt werden!
  • Effektiver Datenschutz braucht betriebliche und behördliche Datenschutzbeauftragte!
  • Datenübermittlungen an Behörden und Gerichte in Drittstaaten bedürfen einer stärkeren Kontrolle!

Das Positionspapier steht in detaillierter Version zum Download bereit.

EU-Datenschutzgrundverordnung aktuell (2): Trilog hat begonnen

25. Juni 2015

Die Verhandlungen über die Europäische Datenschutzgrundverordnung (DSGVO) sind in die nächste Phase eingetreten. Seit dem 24.6.2015 beraten Vertreter der EU-Kommission, des Rats der EU sowie des Europaparlaments im Rahmen der sogenannten Trilog-Verhandlungen über den finalen Gesetzesentwurf. Ziel der Verhandlungen ist es, die unterschiedlichen Verhandlungspositionen der beteiligten Institutionen auf eine gemeinsame Linie zu bringen. Schlussendlich soll die aus dem Jahr 1996 stammende EU-Datenschutzrichtlinie wie auch die nationalen gesetzlichen Umsetzungen wie das Bundesdatenschutzgesetz (BDSG) nach einer zweijährigen Einführungsfrist von der DSGVO als Primärrecht abgelöst werden.

Brisant ist vor allem die zumindest partielle Infragestellung des nicht zuletzt im BDSG fest verankerten Zweckbindungsprinzips, wonach personenbezogen Daten nur für den konkreten Zweck verarbeitet oder genutzt werden dürfen, zu dem sie auch erhoben wurden. Die künftigen Voraussetzungen für die Bestellpflicht des betrieblichen Datenschutzbeauftragten stehen ebenfalls zur Debatte – so, ob dieser fakultativ oder obligatorisch bestellt wird, oder ob eine Bestellpflicht auf mittelgroße und große Unternehmen oder auf Unternehmen, die Datenkontingente von bestimmter Menge erheben oder verarbeiten, beschränkt werden soll.

Auch über die Zuständigkeit nationaler Behörden bei grenzüberschreitendem Datenverkehr wird ebenso wie über die Höhe zu verhängender Geldbußen im Sanktionsfall im Rahmen des Trilogs verhandelt werden.

EU-Datenschutzgrundverordnung aktuell (1): Die Verordnung nimmt Formen an

16. Juni 2015

Nach dreieinhalb Jahren (oder 40 Monaten) Verhandlungen haben sich die EU-Mitgliedsstaaten auf einen ersten Entwurf einer europaweiten Datenschutzverordnung geeinigt. Vorausgegangen war eine der größten Lobbyschlachten der letzten Jahre. Der Grünen-Europa-Abgeordnete Jan-Philipp Albrecht (stellvertretender Vorsitzender des Justiz- und Innenausschusses des Europäischen Parlaments) lobt in einem Interview mit der Deutsche Welle dennoch den gefundenen Kompromiss als gelungenen Ausgleich zwischen den Interessen der Wirtschaft und den Freiheitsrechten der Bürger.

Experten sehen dies deutlich skeptischer. Heise.de bemängelt vor Allem die faktische Aufhebung der Zweckbindung (also das Prinzip, dass Daten nur für den Zweck ihrer Erhebung verwendet werden dürfen) sowie des insbesondere in Deutschland geltenden Grundsatzes der Datensparsamkeit (das Prinzip so wenig wie möglich personebezogene Daten zu erheben, zu nutzen bzw. zu verarbeiten).

Auch das sich mittlerweile etablierte Prinzip des Opt-In (etwa zur Anmeldung zu Newslettern und Werbemails) könnte zukünftig nicht mehr gelten. So ist eine Formulierung geplant, dass zukünftig die „unzweideutige Einwilligung“ ausreichen soll. Ob damit gemeint ist, dass künftig auch ein mehr oder wenig leicht zu erkennender Hinweis in einem langen Text von Einwilligungen genügen soll, um entsprechende Mailings vorzunehmen, scheint nicht ausgeschlossen.

Die Nutzung der Daten für Direktmarketing soll zukünftig bereits dann möglich sein, wenn das Interesse eines Drittunternehmens (also nicht nur des Unternehmens, welches die Daten erhoben hat) bei einer Abwägung größer als das des Betroffenen eingeschätzt wird.

Ob und wie das viel diskutierte Recht auf Vergessenwerden tasächlich in der finalen Verordnung Einzug finden wird, bleibt abzuwarten.

Auch die Konsequenzen von Datenschutzverstößen für Unternehmen, die sich nicht einmal an die geplanten Rahmenbedingungen halten möchten, sollen deutlich sanfter ausfallen als bisher geplant. War in der Vergangenheit von Bußgeldern i.H.v. 100 Millionen Euro oder 5 Prozent des Jahresumsatzes die Rede wurden diese Zahlen nun deutlich reduziert. Ob sich große internationale Unternehmen, die mit den personenbezogenen Daten ihrer Nutzer viel Geld verdienen, von einem Bußgeld i.H.v. maximal 250.000 € von Verstößen abschrecken lassen werden, wird die Zukunft zeigen.

Wie die Verordnung am Ende tatsächlich aussieht hängt von den Verhandlungen zwischen EU-Kommission, Parlament und Ministerrat ab. Diese sollen bis Ende des Jahres abgeschlossen sein.

1 19 20 21