15. März 2023
Nachdem sich Cloud-Dienste über Jahre in zahlreichen Bereichen zur Datenspeicherung etabliert haben, arbeitet die US-Regierung an einem Plan zur Regulierung der Sicherheitspraktiken der Anbieter wie Amazon, Microsoft, Google oder Oracle. Diese Dienste stellen von Privatpersonen und kleinen Unternehmen bis hin zu Behörden und Geheimdiensten Datenspeicherung und Rechenleistung zur Verfügung.
Störungen in der Cloud werden zu Störungen in Wirtschaft und Regierung
Die amtierende nationale Cyber-Direktorin, Kemba Walden, hält die Cloud für unseren Alltag für unverzichtbar. Störungen der Cloud könnten katastrophale Auswirkungen auf Wirtschaft und Regierung haben. Die Cloud sei schlicht „too big to fail“. Für Hacker seien Cloud-Dienste konzentrierte Angriffsziele, die eine Vielzahl von Opfern gleichzeitig beträfen. Kritische Infrastruktur wie Krankenhäuser oder Häfen könnten lahmgelegt werden und selbst Datenbanken in Behörden könnten ausgelöscht werden. So hätten Hacker bereits Cloud-Server von Unternehmen wie Amazon und Microsoft für ihre Angriffe auf andere Ziele genutzt. Zudem mieteten cyberkriminelle Gruppen regelmäßig Infrastruktur von US-amerikanischen Cloud-Anbietern, um Unternehmen zu erpressen oder Daten zu stehlen.
Identitätsüberprüfung und neue Regulierung
Als erste Maßnahme kündigte die US-Regierung an, zukünftig von Cloud-Anbietern eine Identitätsprüfung ihrer Nutzer vorzunehmen. Damit solle verhindert werden, dass ausländische Hacker Speicherplatz auf US-Cloud-Servern mieten. Zudem sollen weitere Cloud-Vorschriften im Rahmen der nationalen Cybersicherheitsstrategie kommen, um Regulierungslücken zu schließen. Als Vorschläge stehen derzeit auch eine Haftung für Softwarehersteller von unsicherem Code und strengere Sicherheitsvorschriften für kritische Infrastrukturunternehmen im Raum. Allerdings gibt es in den USA keine nationale Behörde, die für die Cloud zuständig wäre.
Cloud-Anbieter zeigen sich bisher nicht so ablehnend wie von den US-Behörden erwartet. Microsoft beispielsweise begrüßte die nationale Cybersicherheitsstrategie und betonte, dass Cybersicherheit Teamsport sei.
Auswirkungen auf Europa
Aus europäischer Perspektive ist eine Regulierung der US-Cloud-Dienste ebenfalls relevant. Auch den europäischen Cloud-Markt führen US-Anbieter weitestgehend an. Angesichts der immer wieder auftretenden Bedenken hinsichtlich des Datenschutzes in den USA könnten strengere Regeln für die Cloud auch die Sicherheit der Daten verbessern.
13. März 2023
In der Entscheidung C-460/20 vom 8.12.2022 hat der Europäische Gerichtshof (EuGH) darüber entschieden, wer die Beweislast trägt, wenn eine Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt. Mit anderen Worten, die Entscheidung klärt, wer beweisen muss, ob ein solcher Antrag gerechtfertigt ist oder nicht.
Die Entscheidung des EuGH
Die Argumente des EuGH zur Beweislast in Bezug auf Artikel 17 der Datenschutz-Grundverordnung (DSGVO) sind von großer Bedeutung für die Praxis. Insbesondere ging es darum, wer die Beweislast im Rahmen der Ausnahmevorschrift des Artikels 17 Absatz 3 Buchstabe a DSGVO trägt, wenn eine betroffene Person die Löschung von bestimmten Daten beantragt und behauptet, dass diese unrichtig seien.
Der EuGH stellte fest, dass die betroffene Person den Nachweis erbringen muss, dass die Informationen offensichtlich unrichtig sind oder zumindest ein nicht unbedeutender Teil davon offensichtlich unrichtig ist, um den Löschungsantrag zu rechtfertigen. Jedoch darf die Beweislast nicht zu einer übermäßigen Belastung führen, die das Recht auf Löschung beeinträchtigt. Die betroffene Person kann daher nicht gezwungen werden, eine gerichtliche Entscheidung gegen den Betreiber der Website zu erlangen.
Auf der anderen Seite kann der Verantwortliche für die Datenverarbeitung nicht dazu verpflichtet werden, den Sachverhalt zu ermitteln und eine kontradiktorische Debatte mit dem Anbieter der Inhalte zu führen. Der EuGH ist der Meinung, dass der Verantwortliche nicht aktiv an der Suche nach Tatsachen mitwirken muss, die den Löschungsantrag nicht unterstützen, um zu prüfen, ob der Antrag gerechtfertigt ist.
Auf Art. 16 DSGVO übertragbar?
Die Entscheidung des Bundesverwaltungsgerichts (BVerwG) im März 2022 betraf einen Fall, in dem eine betroffene Person die Berichtigung von Daten nach Artikel 16 DSGVO beantragt hatte. Das Gericht betonte, dass die objektive Wirklichkeit der Maßstab für die Qualifizierung eines Datums als “richtig” oder “unrichtig” im Sinne von Artikel 16 Satz 1 DSGVO ist. Es wurde auch festgestellt, dass Artikel 5 Absatz 2 DSGVO eine spezifische Bestimmung enthält, wer die Beweislast für die Richtigkeit des neu einzutragenden Datums trägt, wenn die Einhaltung der Grundsätze des Artikels 5 Absatz 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.
Das Gericht entschied, dass im Falle eines Berichtigungsanspruchs, bei dem die Richtigkeit des Datums umstritten ist, die Nichterweislichkeit der Richtigkeit des Datums zu Lasten der betroffenen Person geht. Wenn die Beweislast für die Richtigkeit des Datums beim Verantwortlichen liegt, muss er zukünftig nachweisen, dass ein von ihm verarbeitetes Datum richtig ist. Wenn jedoch die betroffene Person nicht nachweisen kann, dass das Datum unrichtig ist, kann der Verantwortliche nicht verpflichtet werden, das von der betroffenen Person genannte Datum einzutragen und weiterzuverarbeiten.
Fazit
Beide Entscheidungen enthalten relevante Klarstellungen zur Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit solchen Anfragen konfrontiert sind, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen oder löschen müssen, an den Gründen dieser Entscheidungen orientieren.
9. März 2023
Handelt es sich bei der Erstellung eines Scoring-Wertes durch die deutsche Wirtschaftsauskunftei „Schufa“ um eine automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutz-Grundverordnung (DSGVO)? Unter anderem diese Frage möchte das VG Wiesbaden im Rahmen des Vorabentscheidungsersuchens (Rs. C-634/21) vom Europäischen Gerichtshof (EuGH) beantworten lassen. Zu diesem Zweck verhandelt der EuGH derzeit und wird voraussichtlich in diesem Jahr eine Entscheidung erlassen.
Scoring
Hintergrund der Entscheidung ist das Scoring der Klägerin, das Anlass für ein Kreditinstitut gewesen sei, die Vergabe eines Kredites zu untersagen. Mit Hilfe des Scorings legt die Schufa einen Wahrscheinlichkeitswert fest. Dieser bestimmt die Fähigkeit einer Person, künftige Kredite oder Verträge einzuhalten und zurückzuzahlen. Hierzu verwendet die Schufa ein mathematisch-statistisches Verfahren. Die betroffene Person wird dabei auf Grund verschiedener Merkmale einer Personengruppe zugeordnet. Aufgrund von Erfahrungswerten ordnet die Schufa den entsprechenden Personengruppen ein erwartbares Verhalten zu. Die Kreditwürdigkeit der betroffenen Person richtet sich folglich nach der Personengruppe, der sie zugeordnet wird.
Dabei ist allerdings unklar, welche Merkmale die Schufa zur Berechnung der Bonität und welches mathematisch-statistische Verfahren sie verwendet.
Automatisierte Entscheidung
Aus Sicht des VG Wiesbaden ist fraglich, ob die Feststellung des Wahrscheinlichkeitswertes, eine automatisierte Entscheidung, bzw. sog. Profiling iSd Art. 22 Abs. 1 DSGVO darstellt. In diesem Fall sei das Scoring an den Voraussetzungen der Art. 22 Abs. 2 lit. b DSGVO iVm § 31 BDSG zu messen.
Das Gericht stellte zunächst fest, dass mit der Feststellung des Wahrscheinlichkeitswertes die Schufa eine eigenständige Entscheidung treffe. Diese beschließe die Schufa als Verantwortlicher iSd Art. 4 Abs. 7 DSGVO. Insoweit bereite die Schufa nicht lediglich die Entscheidung eines Dritten durch vorbereitendes Profiling vor. Stattdessen diene die Entscheidung der Schufa als Grundlage der Entscheidung eines Dritten. Dabei gebe die Schufa den Scoring-Wert ohne Handlungsempfehlung weiter, sodass Kreditinstitute oder andere Einrichtungen über die Begründung, Durchführung und Beendigung eines Vertragsverhältnisses entscheiden könnten.
Darüber hinaus verarbeite die Schufa die personenbezogenen Daten der betroffenen Person so, dass „diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ iSd Art. 4 Nr. 4 DSGVO. Folglich liege hier das sog. Profiling und somit eine automatisierte Entscheidung iSd Art. 22 DSGVO vor. Insoweit sei es ausschlaggebend, dass unter dem Profiling nach Erw.Gr. 71 S. 2 DSGVO auch „die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien.“ (VG Wiesbaden, Vorabentscheidungsersuchen, Rs. C-634/21, Rn.19).
Fazit
Demnach sei nach Ansicht des Gerichts, soweit das Scoring unter Art. 22 DSGVO falle, eine eigenständige Rechtsgrundlage nach 22 Abs. 2 lit. b DSGVO erforderlich. Aus Sicht des Gerichts komme grundsätzlich § 31 BDSG hierfür in Betracht.
8. März 2023
Seitdem im Jahr 2020, mit dem Urteil Schrems II, der bis dahin geltende Angemessenheitsbeschluss (Privacy Shield) für ungültig erklärt worden ist, gilt die USA als ein unsicheres Drittland für Datenübermittlungen. Ein großes Problem in diesem Kontext war unter anderem die nachrichtendienstliche Datenerhebung in den USA. Diese war gewissermaßen anforderungslos für Geheimdienste möglich. Nachdem die US-Regierung gezwungen war, im Oktober 2022 Maßnahmen zu ergreifen, folgte ein Beschlussentwurf der Europäischen Kommission. Die genannten Maßnahmen sollten die zwei Hauptprobleme der fehlenden Verhältnismäßigkeit und dem Fehlen wirksamer Rechtsbehelfe im Bezug auf Überwachungsmaßnahmen lösen. So soll insbesondere die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten nun in die Richtung eines neuen Angemessenheitsbeschlusses führen.
Der Europäische Datenschutzausschuss heißt die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA für gut. Außerdem begrüßt er den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der EU. Dennoch liegt nicht nur ein reiner Zustimmungsgedanke vor. Zu bestimmten Rechten betroffener Personen, der Weiterübermittlung personenbezogener Daten, dem Umfang der Ausnahmen sowie der vorübergehenden Massenerfassung von Daten und der praktischen Funktionsweise des Rechtsbehelfsmechanismus bleiben Fragen offen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder unterstützt die Position des Europäischen Datenschutzausschusses ausdrücklich.
Es bleibt nun lediglich abzuwarten, wie sich ein neuer Angemessenheitsbeschluss für die Übermittlung von Daten in die USA entwickeln wird.
7. März 2023
Nach Gesprächen mit dem Consumer Protection Cooperation Network (CPC) der Europäischen Union (EU) hat sich WhatsApp bereiterklärt, in Zukunft die Änderungen seiner Nutzungsbedingungen transparenter zu gestalten. Zudem bestätigte WhatsApp, „dass personenbezogene Daten der Nutzerinnen und Nutzer nicht zu Werbezwecken an Dritte oder andere Meta-Unternehmen – einschließlich Facebook – weitergegeben werden“.
Intensiver Dialog mit Verbraucherschutzbehörden und Kommission
Das CPC besteht neben der Europäischen Kommission aus EU-Verbraucherschutzbehörden. Den Dialog führten federführend die schwedische Verbraucheragentur und die irische Kommission für Wettbewerb und Verbraucherschutz. Anstoß für die Untersuchung hatte eine Beschwerde der Europäischen Verbraucherverbands (BEUC) und acht seiner nationalen Mitgliedsverbände im Juli 2021 gegeben. Diese hatten Bedenken wegen „mutmaßlicher unlauterer Praktiken des Unternehmens bei der Aktualisierung seiner Nutzungsbedingungen und Datenschutzbestimmungen“ geäußert. Das CPC hatte WhatsApp daraufhin im Januar 2022 und erneut im Juni 2022 angeschrieben.
Bereitschaft „zu uneingeschränkter Einhaltung von EU-Vorschriften, besserer Information für Nutzer und Respektierung ihrer Entscheidungen bei Vertragsanpassungen“
Ergebnis des Dialogs ist eine Liste von Zusagen, die laut CPC WhatsApps Bereitschaft „zu uneingeschränkter Einhaltung von EU-Vorschriften, besserer Information für Nutzer und Respektierung ihrer Entscheidungen bei Vertragsanpassungen“ zeigen. WhatsApp wolle bei künftigen Änderungen seiner Geschäftspolitik geplante Änderungen an den Verträgen und deren Auswirkungen auf die Nutzerschaft erklären, „die Option zur Ablehnung aktualisierter Nutzungsbedingungen so deutlich anbieten wie die Möglichkeit, diese zu akzeptieren“ sowie „gewährleisten, dass Benachrichtigungen mit Update-Informationen ausgeblendet oder die Überprüfungen auf Updates aufgeschoben werden können, die Entscheidungen der Nutzerinnen und Nutzer respektieren und Benachrichtigungen nicht wiederholt versenden.“
Die Umsetzung dieser Zusagen will das CPC aktiv überwachen und falls erforderlich auch mit Bußgeldern durchsetzen.
Enttäuschung vonseiten des Verbraucherschutzverbands
BEUC zeigte sich enttäuscht von den Ergebnissen der Dialoge und bezeichnete sie als „Gelbe Karte“ für WhatsApp. Während EU-Justizkommissar Didier Reynders die Zusagen begrüßte, bedauerte BEUC-Vizedirektorin Ursula Pachl die „schwache Reaktion“ des CIC. Es sei nicht ausreichend, einfach mehr Transparenz und die Möglichkeit, Änderungen der Richtlinien in Zukunft leichter abzulehnen, zu versprechen. Millionen von Nutzerinnen und Nutzern seien aufgrund des aggressiven Verhaltens von WhatsApp 2021 gezwungen worden, die Änderungen zu akzeptieren. Diesen Menschen werde keine Abhilfe verschafft. Die Verbraucherschutzbehörden senden laut Pachl ein „sehr besorgniserregendes Signal aus, indem sie akzeptieren, dass ein Tech-Gigant wie WhatsApp Verbraucherrechte verletzen kann und dann mit dem Versprechen davonkommt, sich in Zukunft zu bessern. Dies zeigt, dass die derzeitige Art und Weise der Durchsetzung des Verbraucherrechts nicht abschreckend genug ist und dass eine dringende Reform erforderlich ist, um eine wirksamere Durchsetzung insbesondere bei EU-weiten Verstößen zu gewährleisten.“
Der Schutz von IP-Adressen gewinnt in der datenschutzrechtlichen Praxis zunehmend an Bedeutung, insbesondere bei der Einbindung von Drittdiensten in Webseiten und der Nutzung von IP-Adressen im Zensus 2022. Es wird jedoch oft pauschal angenommen, dass dynamische IP-Adressen personenbeziehbar sind, was nicht zwingend der Fall ist. Es wird unterstellt, dass dynamische IP-Adressen personenbeziehbar nach Art. 4 Nr. 1 DS-GVO seien. Findet sich eine Begründung, wird auf das Urteil des EuGH in der Rs. Breyer verwiesen.
Da IP-Adressen bei jeder Internet-Kommunikation unvermeidlich sind und ihre Bedeutung mit dem Auslaufen von cookiebasiertem Tracking weiter zunehmen wird, ist es wichtig, den angeblichen Personenbezug von dynamischen IP-Adressen kritisch zu hinterfragen.
Was steht in der DS-GVO?
Im Gesetzestext der DS-GVO wird nicht explizit auf IP-Adressen eingegangen, jedoch werden sie im Erwägungsgrund 30 erwähnt, wo deutlich wird, dass sie nur in Kombination mit anderen Informationen einen Personenbezug ermöglichen können. Nach Erwägungsgrund 26 sollen dabei nur Zusatzinformationen berücksichtigt werden, die “nach allgemeinem Ermessen wahrscheinlich genutzt werden”, wobei objektive Faktoren wie Kosten und Zeitaufwand zu berücksichtigen sind. Der europäische Verordnungsgeber betrachtet den möglichen Personenbezug von IP-Adressen also differenziert.
Rechtsprechung und Aufsichtsbehörden undifferenziert
In einigen Fällen gehen Gerichte und Datenschutzaufsichtsbehörden reflexartig davon aus, dass eine IP-Adresse einen Personenbezug hat. Zum Beispiel hat das LG München I in einem Fall, der die Google-Fonts-Abmahnwelle ausgelöst hat, entschieden, dass die dynamische IP-Adresse für einen Webseitenbetreiber ein personenbezogenes Datum darstelle, unabhängig davon, ob auch Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen. Ähnlich haben auch andere Gerichte im Zusammenhang mit dem Zensus 2022 entschieden. Deutsche Datenschutzaufsichtsbehörden haben seit vielen Jahren die Ansicht vertreten, dass IP-Adressen stets personenbezogene Daten darstellen, und geben in der Regel keine Begründung dafür an. Dies ist auch in der finalen Fassung der DSK-Orientierungshilfe Telemedien der Fall.
Das Breyer-Urteil des EuGH
Das Urteil des EuGH in der Rs. Breyer aus dem Jahr 2016 wurde von vielen als bahnbrechend angesehen, da es den Personenbezug von IP-Adressen anerkannte. Dieses Urteil wurde jedoch oft missverstanden und es ist weniger klar und differenzierter, als es oft angenommen wurde. Der EuGH wurde von der Vorlagefrage des BGH geleitet, die sich auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber bezieht. Der BGH wollte wissen, ob eine IP-Adresse, die von einem Webseitenbetreiber im Zusammenhang mit einem Zugriff auf seine Webseite gespeichert wird, als personenbezogenes Datum anzusehen ist, wenn der Internetzugangsanbieter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.
Die Vorlagefrage des BGH war relativ eng und bezog sich nur auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber, die diese selbst erhoben haben. Es wurde unterstellt, dass der Internetzugangsanbieter über das erforderliche Zusatzwissen verfügt, um die betroffene Person zu identifizieren. Allerdings blieb die Vorlagefrage unklar, da es unklar war, ob mit der “betroffenen Person” der Inhaber des Internetanschlusses oder der konkrete Nutzer gemeint war, der die betreffende Webseite aufgerufen hatte. In der Praxis fallen diese Gruppen oft auseinander, zum Beispiel bei offenen WLAN-Netzwerken oder wenn sich mehrere Familienmitglieder oder WG-Bewohner einen Internetanschluss teilen.
Es war unklar, ob der BGH den Anschlussinhaber oder den konkreten Nutzer im Sinn hatte, was zu einer Uneinigkeit zwischen dem BGH und dem EuGH führte. Der EuGH interpretierte die Vorlagefrage offenbar dahingehend, dass die “betroffene Person” der Nutzer sei, der die Webseite abgerufen hat. Es scheint, als hätten der BGH in seinem Vorlagebeschluss und der EuGH in seinem Urteil in dieser entscheidenden Frage aneinander “vorbeigeredet”.
Die Frage der Zugänglichkeit der Zusatzinformationen war ebenfalls ein strittiger Punkt zwischen dem BGH und dem EuGH. Der BGH erwähnte in seinem Vorlagebeschluss, dass dem Webseitenbetreiber kein direkter Auskunftsanspruch gegenüber dem Internetzugangsbetreiber zustehe und dass die Zusatzinformationen des Internetzugangsanbieters für den Webseitenbetreiber als nicht zugänglich anzusehen seien. Der EuGH war jedoch der Ansicht, dass es für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten gebe, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Das Urteil des EuGH betont, dass die Identifizierung “praktisch durchführbar” sein müsse.
Insgesamt war das Urteil des EuGH in der Rs. Breyer weniger klar und differenzierter als oft angenommen. Es gibt immer noch offene Fragen bezüglich des Personenbezugs von IP-Adressen und der Zugänglichkeit von Zusatzinformationen.
Fazit
Das Breyer-Urteil des Europäischen Gerichtshofs (EuGH) hat zu einer umfangreichen Diskussion darüber geführt, ob dynamische IP-Adressen als personenbezogene Daten zu betrachten sind. In diesem Zusammenhang ist es wichtig zu betonen, dass das Urteil des EuGH auf den Kontext des Vorlagebeschlusses beschränkt ist und lediglich eines von vielen praktischen Szenarien betrifft, in denen IP-Adressen eine Rolle spielen. Die Entscheidung ist somit mit Vorsicht zu genießen. Eine Übertragung auf die Identifizierbarkeit des konkreten Nutzers erscheint zweifelhaft, wenn dieser nicht zugleich der Anschlussinhaber ist.
Das Urteil ist nicht ohne Einzelfallprüfung auf Situationen übertragbar, in denen IP-Adressen von anderen Verantwortlichen als dem Webseitenbetreiber verarbeitet werden. Ob auch Drittanbietern nach deutschem Recht die rechtlichen Auskunftsansprüche zustehen, haben weder der Bundesgerichtshof noch der EuGH entschieden. Auch die Frage, ob derartige Ansprüche nach anderen anwendbaren Rechtsordnungen bestehen, wenn die Drittanbieter außerhalb Deutschlands sitzen, ist offen. Die Möglichkeit für Drittanbieter, den Personenbezug auf Grundlage eigener Zusatzinformationen herzustellen, kann nicht einfach unterstellt werden, sondern muss im Einzelfall begründet werden. Erhebliche Zweifel am Personenbezug von IP-Adressen bestehen daher auch beim sog. „Server Side Tracking“.
In Konstellationen, in denen IP-Adressen in anderem Kontext als einem http-Request verarbeitet werden, liegt ein Personenbezug noch ferner. Eine Identifizierbarkeit ist kaum mehr denkbar, wenn die Stelle, die IP-Adressen verarbeitet, nicht über die bei einem http-Request übermittelten weiteren Informationen verfügt. Somit ist eine fundierte Begründung notwendig ist, um festzustellen, ob dynamische IP-Adressen personenbezogene Daten darstellen. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.
Klar ist, dass die Frage, ob dynamische IP-Adressen personenbezogene Daten darstellen, stets einer fundierten Begründung bedarf. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.
28. Februar 2023
Wie der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski bekanntgab, hat seine Behörde einen Rahmenvertrag mit einem in der EU ansässigen Dienstleister der Open Source-Software Nextcloud und LibreOffice geschlossen.
Datenschutzkonforme Gesamtlösung für EU-Einrichtungen
Mit Nextcloud und LibreOffice können in einer gesicherten Cloud-Umgebung beispielsweise Dateien ausgetauscht, Nachrichten versendet oder auch Videoanrufe getätigt werden. Der gewählte Dienstleister ist in der EU ansässig und nach Aussage des EDSB für alle Organe, Einrichtungen, Ämter und Agenturen der EU zugänglich. Dabei sei die Einhaltung des Datenschutzrechts sowie weiterer spezieller Vorschriften gewährleistet.
Vermeidung von Drittlandstransfers und Unterauftragsverarbeitern
Anders als bei anderen Anbietern sei hier gewährleistet, dass keine Datenübertragung in Nicht-EU-Länder stattfinde. Zudem werde der Einsatz von Unterauftragsverarbeitern vermieden. Der Rahmenvertrag soll damit eine bessere Kontrolle über personenbezogene Daten ermöglichen. Dabei möchten die EU-Institutionen mit gutem Beispiel vorangehen, um digitale Rechte zu schützen und Daten verantwortungsvoll zu verarbeiten.
Alternative zu Microsoft und co.
Bisher bestanden und bestehen vor allem Verträge mit Microsoft für die Office-Produkte in den EU-Institutionen. Bereits 2020 hatte der EDSB deren Einsatz als problematisch eingeordnet. Auch in Deutschland haben die Datenschutzbehörden erhebliche Bedenken gegenüber dem Einsatz der cloudbasierten Microsoft-Produkte geäußert und zuletzt im Rahmen der Datenschutzkonferenz einen datenschutzkonformen Einsatz von Microsoft 365 in öffentlichen Stellen für nicht möglich erachtet. Problematisch ist hier insbesondere, dass Verantwortliche unter Umständen keine Kontrolle über Datentransfers haben.
Vorbild für den nichtöffentlichen Bereich?
Auch im nichtöffentlichen Bereich stellt sich oft die Frage nach datenschutzkonformen Cloud-Lösungen. Hier könnte der Rahmenvertrag des EDSB ein Vorbild sein. Jeder nach dem Datenschutzrecht Verantwortliche muss sich schließlich damit auseinandersetzen, ob die von ihm gewählten Programme datenschutzkonform nutzbar sind. Dabei kann es helfen, solche zu nutzen, die vom EDSB als datenschutzkonform eingeordnet werden. Allerdings ist in jedem Fall eine Einzelfallabwägung erforderlich, die die eigenen Bedürfnisse und Risiken für die Daten berücksichtigt.
Seit Inkrafttreten der RL (EU) 2019/1024 vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (PSI-RL) wurden die sog. hochwertigen Datensätze neu eingeführt. Am 20.1.2023 wurde im Amtsblatt der EU die Durchführungsverordnung VO (EU) 2023/138 der Kommission zur Festlegung bestimmter hochwertiger Datensätze und der Modalitäten ihrer Veröffentlichung und Weiterverwendung veröffentlicht. In dem Beitrag geht es um einen Überblick über die Inhalte der neuen VO (EU) 2023/138 und dem Zusammenhang mit dem Datenschutzrecht.
Was sind hochwertige Datensätze?
Die Legaldefinition von hochwertigen Datensätzen in Art. 2 Nr. 10 PSI-RL bezieht sich auf Dokumente, die wichtige Vorteile für die Gesellschaft, Umwelt und Wirtschaft bieten. Außerdem sind die thematischen Kategorien hochwertiger Datensätze sind in Anhang I der PSI-RL aufgeführt und können durch die EU-Kommission erweitert werden. Art. 14 Abs. 1 UAbs. 1 PSI-RL verpflichtet die EU-Kommission zur Festlegung einer Liste von hochwertigen Datensätzen im Besitz öffentlicher Stellen oder öffentlicher Unternehmen. Diese Festlegung muss auf einer Bewertung des Potenzials der Datensätze basieren, hinsichtlich sozioökonomischer oder ökologischer Vorteile, Nutzen für eine große Zahl von Nutzern, Einnahmen und Kombinierbarkeit mit anderen Datensätzen.
Grund der Unterscheidung zu „nicht-hochwertigen“ Datensätzen
Die Einstufung von Dokumenten als hochwertige Datensätze ist relevant für die Anforderungen der PSI-RL bezüglich Format und kostenfreier Zurverfügungstellung durch öffentliche Stellen. Hochwertige Datensätze müssen in maschinenlesbarem Format über geeignete APIs und als Massen-Download zur Verfügung gestellt werden, ohne dass Kompensationszahlungen erhoben werden dürfen, außer in Ausnahmefällen. Im Gegensatz dazu können für nicht-hochwertige Datensätze Erstattungen für Grenzkosten verlangt werden, die durch Reproduktion, Bereitstellung und Verbreitung von Dokumenten sowie durch die Anonymisierung personenbezogener Daten und Maßnahmen zum Schutz vertraulicher Geschäftsinformationen verursacht werden.
Inhalt der neuen Verordnung
Die EU-Kommission hat mit der VO (EU) 2023/138 für jede der sechs Kategorien in Anhang I PSI-RL eine Liste hochwertiger Datensätze erstellt und Modalitäten für deren Veröffentlichung und Weiterverwendung festgelegt. Ziel ist es, öffentliche Daten mit hohem sozioökonomischem Potenzial leicht zugänglich und kostenlos zur Verfügung zu stellen. Die VO (EU) 2023/138 besteht aus 14 Erwägungsgründen und sechs Artikeln, in denen der Gegenstand der Durchführungsverordnung, Begriffsbestimmungen, Veröffentlichungs- und Weiterverwendungsmodalitäten sowie die Verpflichtung der Mitgliedstaaten zur Übermittlung von Berichten über die Durchführung der Durchführungsverordnung festgelegt sind.
Weiterhin soll die VO (EU) 2023/138 sicherstellen, dass öffentliche Daten mit hohem Potenzial für die Gesellschaft leicht zugänglich und kostenlos zur Verfügung stehen. Die Modalitäten für Veröffentlichung und Weiterverwendung werden für jede Kategorie festgelegt, wobei Ausnahmen und Einschränkungen in einigen Kategorien vorgesehen sind. Die Mitgliedstaaten sind verpflichtet, Berichte über die Durchführung der Durchführungsverordnung zu erstellen und einzureichen. Der Anhang der Durchführungsverordnung enthält detaillierte Informationen zu den erfassten Datensätzen und den kategoriespezifischen Regelungen für ihre Veröffentlichung und Weiterverwendung.
Bleibt der Datenschutz auf der Strecke?
Hochwertige Datensätze können personenbezogene Daten enthalten, die durch das Datenschutzrecht geschützt sind. Der EU-Gesetzgeber hat bei der VO (EU) 2023/ keine Ausnahme vom Datenschutzrecht gemacht. Um die Vertraulichkeit von personenbezogenen Daten in hochwertigen Datensätzen zu gewährleisten, empfiehlt der Text den Einsatz von verschiedenen Techniken, wie Generalisierung, Aggregierung, Anonymisierung, differenzieller Privatsphäre oder Randomisierung. Diese Methoden können dazu beitragen, dass personenbezogene Daten nicht mehr identifizierbar sind und damit der Datenschutz gewahrt bleibt. Solche Maßnahmen können jedoch auch Kosten verursachen. Deswegen können diese bei der Festlegung von angemessenen Entgelten und Gebühren auch berücksichtigt werden.
Weitere Überlegungen zum Datenschutz sind in den Lizenzen und Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO enthalten. In Lizenzen können Bedingungen festgelegt werden, die den Schutz personenbezogener Daten bei der Weiterverwendung durch den Lizenznehmer sicherstellen. Unter bestimmten Umständen müssen auch Datenschutz-Folgenabschätzungen durchgeführt werden, um mögliche Risiken für die Privatsphäre der betroffenen Personen zu identifizieren.
Die Mitgliedstaaten müssen über solche Bewertungen der EU-Kommission Bericht erstatten, um sicherzustellen, dass der Datenschutz bei der Verwendung von hochwertigen Datensätzen gewahrt bleibt.
Fazit
Die EU-Kommission hat mit der Verabschiedung der VO (EU) 2023/138 einen weiteren Schritt zur Förderung der gemeinsamen Datennutzung und eines innovationsfreundlichen europäischen Binnenmarkts gemacht. Dabei müssen die Mitgliedstaaten müssen nun unter anderem APIs für die hochwertigen Datensätze bereitstellen, Datenschutz-Folgenabschätzungen durchführen und entscheiden, ob Ausnahmen von der unentgeltlichen Zurverfügungstellung der Datensätze für bestimmte Stellen erforderlich sind. Es bleibt abzuwarten, wie die Mitgliedstaaten mit den Mindestanforderungen für die Datensätze und Modalitäten für die Weiterverwendung umgehen werden. Die Verordnung trat am 9. Februar 2023 in Kraft und gilt unmittelbar in allen Mitgliedstaaten.
23. Februar 2023
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber veröffentlichte eine Pressemitteilung, der zufolge er der Bundesregierung den Betrieb ihrer Facebookseite untersagt habe. Für die Abschaltung der Facebookseite habe das zuständige Bundespresseamt (BPA) vier Wochen Zeit.
Fehlende Rechtsgrundlage und Cookies
Der Auslöser für die Untersagung sei, neben verschiedener datenschutzrechtlicher Bedenken, ein Gutachten einer Taskforce, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzt habe. In ihrem Gutachten habe sich die Taskforce mit dem Betrieb von sog. Facebook-Fanpages auseinandergesetzt (wir berichteten). Im Ergebnis habe die Taskforce festgestellt, dass keine wirksame Rechtsgrundlage zum Betrieb einer Facebook-Fanpage bestehe und dass der Betreiber der Seite seinen Informationspflichten nach Art. 12 ff. DSGVO nicht nachkommen könne.
Dementsprechend betonte der BfDI zunächst, dass bei der Erstellung einer Facebookseite eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe. Der Betreiber einer Fanpage und das Facebook-Mutterunternehmen Meta haben im Hinblick auf die Facebook-Fanpage sich ergänzende Interessen.
Aus der gemeinsamen Verantwortlichkeit folge für das BPA die Pflicht, den datenschutzkonformen Betrieb nachzuweisen. In einem zuvor erfolgten Verfahren sei es dem BPA allerdings nicht gelungen, den BfDI von der Datenschutzkonformität der Facebook-Fanpage zu überzeugen.
Konkret kritisierte der BfDI, dass es an einer für die Datenverarbeitung erforderlichen Rechtsgrundlage fehle. Auch die von der DSK eingesetzte Taskforce habe diesen Umstand in ihrem Gutachten vergangen Jahres bemängelt.
Zusätzliche monierte der BfDI den Einsatz von Cookies auf der Facebookseite. Den Einsatz von Cookies regele das TTDSG. Nach § 25 Abs. 1 TTDSG sei für die Speicherung von Informationen in der Einrichtung des Nutzer oder das Auslesen dieser Informationen, d.h. für den Einsatz von Cookies eine Einwilligung erforderlich. Einer solchen Einwilligung bedürfe es unter anderem nicht, wenn die Speicherung oder das Auslesen von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich“ sei. Aus Sicht des BfDI sei im Falle der Facebookseite allerdings problematisch, dass Meta nicht unbedingt erforderlich Cookies einsetzte. Für diese Verwendung werde indes keine, mangels Ausnahme erforderliche Einwilligung eingeholt.
Fazit
Die im Ergebnis bestehenden Bedenken der Datenschutzkonformität führen folglich zur Pflicht des BPA, die Facebookseite der Bundesregierung abzuschalten. Gegen die Entscheidung des BfDI könne das BPA Klage erheben.
Bereits vor einem Jahr hatte die DSK, im Zusammenhang mit dem veröffentlichten Gutachten öffentliche Stellen zur Überprüfung und zur eventuell erforderlichen Abschaltung ihrer Facebookseiten aufgerufen. Ob mit der Entscheidung des BfDI die Datenschutzkonformität von Facebookseiten privater Unternehmen vermehrt Aufmerksam erhalten wird, bleibt abzuwarten.
22. Februar 2023
Brüssel. Die EU-Kommission klagt vor dem EuGH wegen unzureichendem Schutz für Hinweisgeber. Dieses Vorgehen gegen Deutschland lässt sich auf eine fehlende Umsetzung einer im Jahr 2019 geschaffenen Richtlinie rückführen. In deutsches Recht hätte die Richtline bereits im Dezember 2021 umgesetzt werden sollen. Sogenannten Whistleblowern sollten damit das Aufdecken und Weitergeben von Missständen oder kriminellen Machenschaften in Unternehmen erleichtert werden.
Hinweisgeberschutzgesetz auf der Zielgeraden blockiert
Der Bundesregierung ist grundsätzlich kein Untätig werden vorzuwerfen. Vielmehr ist das entworfene neue Gesetz zum Schutz von Hinweisgebern auf den letzten Metern der Gesetzgebung gescheitert. Durch das Gegenstimmen der Bundesländer, in denen die Union regiert, wurde das Gesetz nun doch noch gekippt. Mit 38 von 69 Stimmen hat die Union mit einer Blockademehrheit dafür gesorgt, dass ein Schutz von Whistleblowern weiterhin nur wünschenswert bleibt. Dieses Vorgehen wird auf das Argument einer möglichen Regulierung über die von der Kommission geforderten Standards bezogen. Die Union wünschte sich aus Angst vor Missbrauch von Meldungen eine Nachbesserung des Gesetzes.
Ampel über die Blockade empört
SPD und Grüne beharren auf dem Gesetzesentwurf und wollen keine Änderungen. SPD-Innenpolitiker Sebastian Fiedler erklärt in einem Interview einen möglichen Plan B. Demnach könnte ein inhaltlich gleicher Gesetzesentwurf in den Bundestag eingebracht werden. Einziger Unterschied wäre eine nicht zustimmungsbedürftige Form.
Fazit
Der Pyrrhussieg der Union durch die Blockade des Gesetzes könnte für die Bundesrepublik nun eine Strafe nach sich ziehen. Durch das Kippen des Gesetzesentwurfes gehen leider mehrere Parteien als Verlierer heraus. Doch neben einer möglichen Sanktionierung des Staates sind die wahren Opfer Hinweisgeber, welche dennoch mit großem Mut auf Missstände aufmerksam machen.
Pages: 1 2 ... 19 20 21 22 23 ... 275 276 
