Schlagwort: Europäische Grundrechtecharta

EU-Ausschuss lehnt Angemessenheit des EU-US-Datenschutzrahmens in Entwurf einer Stellungnahme ab

17. Februar 2023

Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.

Rechtsverletzungen und zu große Unsicherheit

In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.

Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.

Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.

Fazit und Ausblick

Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.

Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.

EuGH zur Auslegung von Art. 6 und 9 der DSGVO

10. August 2022

In seinem Urteil (EuGH, Urteil v. 01.08.2022 – EuGH AZ: C-184/20) hatte sich der Europäische Gerichtshof mit zwei Vorlagefragen bezüglich der Auslegung der DSGVO zu befassen.

Ausgangsrechtsstreit

Am 07. Februar 2018 entschied die Oberste Ethikkommission, dass ein Leiter einer Einrichtung litauischen Rechts aus dem Bereich des Umweltschutzes, die öffentliche Mittel erhält, gegen Art. 3 Abs. 2 und Art. 4 Abs. 1 des litauischen Gesetzes über den Interessenausgleich verstoßen habe, indem er keine Erklärung über private Interessen vorgelegt habe. Gegen diese Entscheidung erhob dieser Leiter beim litauischen Gericht Anfechtungsklage. Er war der Ansicht, ihn treffe keine Pflicht zur Erklärung privater Interessen. Jedenfalls verletze die Veröffentlichung dieser Erklärung sowohl sein eigenes Recht auf Achtung seines Privatlebens als auch das der anderen Personen, die er in seiner Erklärung angeben müsste. Das litauische Regionalverwaltungsgericht Vilnius hat sodann beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Vorabentscheidung vorzulegen:

  • Ist die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO festgelegte Bedingung im Hinblick auf die in Art. 6 Abs. 3 der DSGVO festgelegten Anforderungen und ferner im Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung der in Erklärungen über private Interessen enthaltenen Daten und deren Veröffentlichung auf der Website des Verantwortlichen verlangen darf, wodurch allen Personen, die Zugang zum Internet haben, Zugang zu diesen Daten gewährt wird?
  • Ist das in Art. 9 Abs. 1 der DSGVO normierte Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten unter Berücksichtigung der in Art. 9 Abs. 2 der DSGVO festgelegten Bedingungen, einschließlich der in Buchst. g genannten Bedingung, auch in Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung von Daten in Erklärungen über private Interessen verlangen darf, durch die personenbezogene Daten offenbart werden können, einschließlich solcher Daten, die Rückschlüsse auf politische Ansichten, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder andere persönliche Informationen zulassen, und auch nicht ihre Veröffentlichung auf der Website des Verantwortlichen, wodurch allen Personen mit Zugang zum Internet Zugang zu diesen Daten gewährt wird?

Zu Art. 6 Abs. 1 Unterabs. 1 Buchst. c und Abs. 3 DSGVO

In dem vorgelegten Fall diente die Datenverarbeitung durch Veröffentlichung der Inhalte einer Erklärung über private Interessen auf der Website der Ethikkommission der Erfüllung einer rechtlichen Verpflichtung aus Art. 10 des litauischen Gesetzes über den Interessenausgleich. Somit fällt die Datenverarbeitung unter Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO. Dieser Art. 10 des Gesetzes über den Interessenausgleich muss als Rechtsgrundlage der Datenverarbeitung dann ebenfalls den Anforderungen aus Art. 52 Abs. 1 der Charta und Art. 6 Abs. 3 der DSGVO genügen.

Im Rahmen dieser Verhältnismäßigkeitsprüfung hatte der EuGH zum Schluss die Schwere des Eingriffs in die Grundrechte der Art. 7 und 8 der Charta gegen die Bedeutung der Ziele des Gesetzes über den Interessenausgleich, nämlich die Verhütung von Interessenkonflikten und von Korruption im öffentlichen Sektor, abzuwägen. Hierbei seien die konkreten Ausprägungen und das Ausmaß der Korruption im öffentlichen Dienst des betreffenden Mitgliedstaats zu berücksichtigen, sodass das Ergebnis der Abwägung nicht unbedingt für alle Mitgliedstaaten gleich ausfallen würde. Zudem ist ebenfalls zu berücksichtigen, dass das Allgemeininteresse an der Veröffentlichung personenbezogener Daten aus einer Erklärung über private Interessen je nach Bedeutung der Aufgaben der erklärungspflichtigen Person variieren kann. Eine Online-Veröffentlichung von Daten, die geeignet sind, Informationen über bestimmte sensible Aspekte des Privatlebens der betroffenen Personen und ihm nahestehende Personen, wie z.B. ihre sexuelle Orientierung, zu offenbaren, sei als schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten anzusehen. Aber auch die Korruptionsbekämpfung sei in der Union von großer Bedeutung.

Zur Abwägung führte der EuGH aus: “Im Vergleich zu einer Erklärungspflicht in Verbindung mit einer von der Obersten Ethikkommission ausgeübten Inhaltskontrolle, deren Wirksamkeit der betreffende Mitgliedstaat zu gewährleisten hat, indem er diese Behörde mit den dafür erforderlichen Mitteln ausstattet, stellt eine solche Veröffentlichung einen erheblich schwereren Eingriff in die durch die Art. 7 und 8 der Charta verbürgten Grundrechte dar, ohne dass diese zusätzliche Schwere durch etwaige Vorteile kompensiert werden könnte, die sich hinsichtlich der Verhütung von Interessenkonflikten und der Bekämpfung von Korruption aus der Veröffentlichung aller dieser Daten ergeben könnten.” (EuGH, Urt. v. 1.8.22, AZ: C-184/20, Rn. 112).

Zu Art. 9 Abs. 1 der DSGVO

Der EuGH wurde des Weiteren vor die Frage gestellt, ob auch Daten, aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer Person geschlossen werden kann, ebenfalls unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO fallen, obwohl die verarbeiteten Daten ihrer Natur nach nicht direkt sensible Daten darstellen. Der EuGH führt dazu aus, dass eine Auslegung des Wortlauts des Art. 9 Abs. 1 DSGVO (“zu”, “über”) dahingehend, dass eine direktere Verbindung zwischen der Verarbeitung und den betreffenden Daten bestehen muss und nicht bereits ein indirektes Schließen auf sensible Informationen ausreicht, nicht im Einklang mit einer kontextbezogenen Analyse der Vorschriften stehen würde. Insbesondere der Normzweck der Gewährleistung eines erhöhten Schutzes vor Datenverarbeitungen, die aufgrund besonderer Sensibilität einen besonders schweren Eingriff in die Grundrechte aus Art. 7 und 8 der Charta darstellen können, spreche für eine weite Auslegung der Begriffe des Art. 9 Abs. 1 DSGVO.

Die Entscheidung zeigt, dass sich der EuGH für den Datenschutz ausspricht und dieser auch im Rahmen wichtiger Themen wie Korruption im öffentlichen Sektor noch großen Einfluss hat und im Einzelfall überwiegen kann. Auch zeigt die weite Auslegung des Begriffs der sensiblen Daten, dass diese auch vorliegen, obwohl es auf den ersten Blick nicht danach aussieht.

Klage soll europäische Fluggastdatenspeicherung stoppen

16. Mai 2019

Die Gesellschaft für Freiheitsrechte will die Sammlung und Auswertung von Passagierdaten durch das BKA stoppen. Mit gleich sechs Klagen versuchen die Aktivisten, die entsprechende EU-Richtlinie zu kippen.

In der 2016 beschlossenen EU-Richtlinie zur Fluggastdatenspeicherung sowie in der deutschen Umsetzung, dem Fluggastdatengesetz von 2017, sieht Malte Spitz, Generalsekretär der Bürgerrechtsorganisation, einen “Verstoß gegen europäische Grundrechte”. “Die anlasslose, massenweise Speicherung und Auswertung der Flüge aller internationalen Fluggäste verstößt gegen die Europäische Grundrechtecharta. Die Rasterfahndung am Himmel muss beendet werden.”

“Diese neue Form der Überwachung verletzt die Fluggäste in ihren europarechtlich garantierten Grundrechten auf Achtung des Privat- und Familienlebens sowie auf Schutz personenbezogener Daten”, erklärt der GFF-Koordinator Bijan Moini mit Blick auf Artikel 7 und 8 der EU-Grundrechtecharta.

Alle Informationen von Passagieren, die mit dem Flugzeug in die EU einreisen oder sie verlassen, werden inzwischen für sechs Monate gespeichert. Nach Ablauf dieser Frist werden die Informationen noch anonymisiert vorgehalten. Diese umfangreichen Datensätze übermitteln die Luftfahrtunternehmen an die beim Bundeskriminalamt eingerichtete Fluggastdatenzentralstelle. Die Informationen werden fünf Jahre lang gespeichert. Es gleicht sie automatisiert mit Fahndungs- und Anti-Terror-Dateien ab. Zudem will die Polizeibehörde auch mithilfe automatisierter Mustererkennung verdächtige Flugbewegungen ermitteln. Es werden zig Datenkategorien erhoben, neben Namen, Adressen und Reiserouten sind das Kreditkartennummern, E-Mail, Telefon, die Daten von mitreisenden Kindern, das Gepäck, die Sitzplatzwahl und noch etliches mehr.

Der EuGH entschied vor knapp zwei Jahren bereits, dass das geplante, sehr ähnlich angelegte Abkommen über den Austausch von Fluggastdaten mit Kanada gegen europäische Grundrechte verstößt.

Datenschutzkonferenz: Kritik an Vorratsdatenspeicherung von Fluggastdaten

13. November 2017

Jede Flugreise bringt eine Flut von Daten mit sich. Wie bereits berichtet, werden Fluggastdaten auch in Deutschland ab Mai 2018 gespeichert – ähnlich wie in Großbritannien und den USA. EU-Sicherheitsbehörden können im Zuge des Fluggastdatengesetzes (FlugDaG) bis zu 60 verschiedene Datenkategorien bei Fluggesellschaften abfragen. Das Gesetz strebt die Bekämpfung von Terror und schwerer Kriminalität an.

In einer Entschließung der Datenschutzkonferenz sprachen sich die unabhängigen Datenschutzbehörden des Bundes und der Länder für eine Nachbesserung des FlugDaG aus. Insbesondere kritisieren die Behörden die langfristige Speicherung von Fluggastdaten (Passenger Name Records – PNR) aller Passagiere. Sie berufen sich dabei auf den Gerichtshof der Europäischen Union (EuGH), der in seinem Gutachten vom 26. Juli 2017 das Fluggastdaten-Abkommen der EU mit Kanada für nicht mit der Europäischen Grundrechtecharta vereinbar erklärt hat.

Unter dem Deckmantel von Grundsätzen der Datensparsamkeit und der Erforderlichkeit argumentieren die Behörden im Sinne des EuGH. Die öffentliche Sicherheit und der Schutz vor Terrorismus rechtfertigen nicht die Erhebung und Verarbeitung sensibler Daten wie rassische und ethnische Herkunft, religiöse Überzeugungen oder das Sexualleben. Eine präzisere und besonders fundierte Begründung sei dazu nötig.

Wenn es während eines Aufenthalts eines Reisenden keine Anhaltspunkte für terroristische oder schwere Straftaten gibt, habe sich der Zweck der Datenübermittlung erfüllt. Wie der EuGH fordern die Datenschutzbehörden dann eine weitere Speicherung zu verbieten. Nach Ausreise sei eine Vorratsdatenspeicherung ohne objektive Anhaltspunkte für geplante Straftaten nicht gerechtfertigt.

 

Regierungsentwurf zur Vorratsdatenspeicherung: Voßhoff zweifelt an Vereinbarkeit mit der Europäischen Grundrechtecharta

21. April 2015

Einer Pressemitteilung vom gestrigen Tage zufolge, ist für die Bundesbeauftragte für Datenschutz und Informationsfreiheit Andrea Voßhoff fraglich, ob der von der Bundesregierung vorgelegte Gesetzesentwurf für eine Vorratsdatenspeicherung den Vorgaben des Europäischen Gerichtshofs entsprechen kann. So ist sie der Auffassung, dass die Kernfrage, an der sich ein neues Gesetz zur Vorratsdatenspeicherung messen lassen müsse, sein werde, ob und wie die vom Europäischen Gerichtshof aufgeworfene Problematik der anlasslosen Speicherung gelöst werden solle. Aus den nun vorgelegten Leitlinien von Bundesjustizminister Heiko Maas lasse sich jedenfalls nicht erkennen, ob die geplanten Regelungen mit der Europäischen Grundrechtecharta vereinbar seien. Eine valide Beurteilung dieser sowie aller weiteren Fragen werde jedoch erst erfolgen können, wenn der konkrete Gesetzesentwurf vorliegen.

Erst in der vergangenen Woche hatte der Bundesjustizminister mit Innenminister Thomas de Maizière die “Leitlinien des BMJV zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten” vorgestellt, womit die Bundesregierung ihren Plan zur heftig umstrittenen Wiedereinführung der Vorratsdatenspeicherung offenlegte. Es beschreibt die Pläne der Bundesregierung, die Vorratsdatenspeicherung von Telekommunikationsdaten für Zwecke der Strafverfolgung wieder zu erlauben. Es solle danach eine Verpflichtung für Telekommunikationsanbieter bestehen, in Zukunft erneut Standortdaten für vier sowie weitere Verkehrsdaten für zehn Wochen zu speichern.