Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

11  Europa  und Internationales

Datenschutz erhält sowohl hinsichtlich der Praxis als auch der Regelungsfragen immer mehr eine internationale Dimension. Zentral sind hierbei die Regulierungsbestrebungen der Europäischen Union (Tz. 2.5, 11.1). Die praktische Bedeutung der Artikel-29-Datenschutzgruppe der EU für die europaweite Koordinierung der Aufsichtstätigkeit sowie für die einheitliche Auslegung der europäischen Datenschutzrichtlinie aus dem Jahr 1995 nimmt weiter zu (Tz. 11.2, 11.3). Dies betrifft auch den Umgang mit der Datenverarbeitung von europaweit präsenten US-Unternehmen sowie mit der äußerst aktiven Datenbeschaffung durch US-Sicherheitsbehörden (Tz. 11.4, 11.5).

 

11.1        Europäische Regulierung

Nach umfangreichen vorbereitenden Diskussionen legte die EU-Kommission am 25. Januar 2012 ein Gesamtkonzept zur Reform bzw. Fortentwicklung des europäischen Datenschutzrechts vor.

Dieses Reformpaket enthält zunächst einen Vorschlag für eine Richtlinie zum Datenschutz „durch die zuständigen Behörden zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafverfolgung“ sowie zum freien Datenverkehr (KOM(2012) 10 endgültig), mit der für die Bereiche Polizei, Staatsanwaltschaft, Justiz- und Ordnungsverwaltung Vorgaben an die nationalen Gesetzgeber gemacht werden sollen und die den bisher gültigen Rahmenbeschluss 2008/977/JI ersetzen soll. Der Kommissionsvorschlag bleibt in mancher Hinsicht hinter der ausdifferenzierten deutschen Datenschutzgesetzgebung im Sicherheitsbereich, die stark durch Entscheidungen des Bundesverfassungsgerichts bestimmt wird, zurück. Das ULD und die Datenschutzbeauftragten des Bundes und der Länder drängen daher darauf klarzustellen, dass mit einer derartigen Richtlinie allenfalls Mindeststandards festgelegt werden können und dürfen. Die Verabschiedung einer entsprechenden Richtlinie wird Auswirkungen auf das Landespolizeirecht haben; der Landtag muss danach prüfen, wie sie für Schleswig-Holstein im geltenden Landesverwaltungsgesetz umzusetzen ist.

Erheblich größere öffentliche Aufmerksamkeit und Resonanz gefunden hat der Vorschlag einer Ver- ordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, kurz „Datenschutz-Grundverordnung“ genannt, mit Änderungen für die Wirtschaft und die Verwaltung (KOM(2012) 11 endgültig). Dieser Verordnungsentwurf macht Vorgaben, die den datenschutzrechtlichen Anforderungen des Internetzeitalters genügen sollen.

Der Landtag Schleswig-Holstein hat begonnen, sich mit dem europäischen Reformpaket zu befassen. Zunächst ging es um die Frage, ob die EU überhaupt Regelungen erlassen darf, welche auch der nationalen Gesetzgebung überlassen werden können. Diese Frage wurde vom deutschen Bundesrat verneint (BR-Drs. 52/12 – Beschluss). Diese Subsidiaritätsrüge wurde von der EU zurückgewiesen. Dessen ungeachtet bleibt die Frage offen, inwieweit durch nationale Regelungsvorbehalte sowohl ein Höchstmaß an Einheitlichkeit und europaweiter Verbindlichkeit erreicht als auch regional bzw. national bewährte Regelungs- und Vollzugsstrukturen bewahrt werden können.

Im Dezember 2012 legte der Berichterstatter des zuständigen Ausschusses des Europaparlaments einen umfangreichen Katalog von Änderungsvorschlägen vor, die in vieler Hinsicht die Kritik an dem Regelungspaket der EU-Kommission aufgreift (Tz. 2.5).

11.2        Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe ist das unabhängige Beratungsgremium der Europäischen Union in Datenschutzfragen. Die Gruppe macht von der ihr eingeräumten Möglichkeit, Stellungnahmen und Empfehlungen zu Fragen des Datenschutzes abzugeben, regen Gebrauch: Seit 1997 hat sie mehr als 200 Dokumente zu einer Vielzahl von Themen veröffentlicht.

Die Artikel-29-Datenschutzgruppe trägt ihren Namen, weil sie gemäß Artikel 29 der Datenschutzrichtlinie 95/46/EG eingesetzt ist. Sie besteht aus Vertretern der nationalen Aufsichtsbehörden für den Datenschutz, des Europäischen Datenschutzbeauftragten sowie der EU-Kommission. Anders als gerichtliche Entscheidungen sind die Stellungnahmen und Empfehlungen der Gruppe rechtlich nicht bindend. Ihnen kommt aber eine hohe Bedeutung zu, weil sie die gemeinsamen Ansichten der nationalen Aufsichtsbehörden zu den bearbeiteten Themen widerspiegeln.

Das ULD engagiert sich in mehreren Arbeitsgruppen der Datenschutzgruppe, bei deren Sitzungen aktuelle Themen diskutiert und gegebenenfalls Stellungnahmen oder Empfehlungen erarbeitet werden. 2011 und 2012 hat die Datenschutzgruppe u. a. Papiere zum Datenschutz bei Smart Metern, Geolokalisierungsdiensten von mobilen Endgeräten, verhaltensbasierter Online-Werbung, Biometrie und Gesichtserkennung bei Online- und Mobilfunkdiensten veröffentlicht. Nach Beschlussfassung werden die Papiere auch in deutscher Übersetzung bereitgestellt. Die Stellungnahmen und Empfehlungen der Gruppe können im Internet abgerufen werden unter:

http://ec.europa.eu/justice/data-protection/article-29/documentation

Aufgrund ihrer praktischen Relevanz besonders hervorzuheben sind die Stellungnahmen der Artikel-29-Datenschutzgruppe zur Definition von Einwilligung (WP187) und zum Cloud Computing (WP196 – Tz. 11.3, 7.3). Im WP187 analysiert die Gruppe das derzeit im Datenschutzrecht verwendete Konzept der Einwilligung und führt zahlreiche Beispiele für gültige und ungültige Einwilligungen auf. Sie weist darauf hin, dass in der Praxis in einigen Fällen Methoden angewendet werden, die für die Erteilung einer echten, eindeutigen Einwilligung nicht geeignet sind. Im Anschluss an die Bewertung des derzeitigen Rechtsrahmens gibt die Gruppe Empfehlungen für Änderungen der rechtlichen Rahmenbedingungen durch den EU-Gesetzgeber.

 

11.3        Artikel-29-Datenschutzgruppe  zu Cloud Computing

Die Artikel-29-Datenschutzgruppe hat im Juli 2012 eine Stellungnahme zum Cloud Computing abgegeben. Diese bezieht Stellung zu relevanten rechtlichen Fragestellungen sowie zu geeigneten technischen und organisatorischen Maßnahmen.

In ihrer Stellungnahme, an der das ULD maßgeblich mitgewirkt hat, äußert sich die Artikel-29-Datenschutzgruppe zu zentralen, datenschutzspezifischen Fragen des Cloud Computing (Tz. 5.7). Als spezifische Risiken des Cloud Computing identifiziert die Gruppe Kontrollverlust und mangelnde Transparenz. Diese Risiken sind besonders groß, wenn personenbezogene Daten in verschiedenen Rechenzentren rund um den Globus und durch eine Vielzahl von (Unter-)Auftragnehmern verarbeitet werden. Die Stellungnahme konzentriert sich auf den Normalfall eines Cloud-Angebotes, in dem der Anwender als verantwortliche Stelle und der Cloud-Anbieter als Auftragsverarbeiter zu qualifizieren ist, und trifft Aussagen dazu, wie die Vorgaben des geltenden EU-Datenschutzrechts eingehalten werden können. Schwerpunkte liegen auf den vertraglichen Sicherungen im Verhältnis zwischen Cloud-Anbieter und Anwender sowie der Problematik der Übermittlung personenbezogener Daten in Drittstaaten außerhalb des Europäischen Wirtschaftsraums (EWR).

Die Artikel-29-Datenschutzgruppe stellt klar, dass technisch-organisatorische Maßnahmen nicht nur an den klassischen Schutzzielen der Verfügbarkeit, Vertraulichkeit und Integrität, sondern auch an den Datenschutz-Schutzzielen der Transparenz, Intervenierbarkeit und Nichtverkettbarkeit auszurichten sind. Eine Checkliste soll Cloud-Anbietern und Anwendern dabei helfen, eine datenschutzkonforme Verarbeitung von Daten in der Cloud sicherzustellen.

11.4        Datenschutz in den USA

Die USA sind die Wiege des modernen Datenschutzrechts. Die Präsenz von US-Unternehmen ohne hinreichenden Datenschutz ist inzwischen eine beachtliche Gefahr für die informationelle Selbstbestimmung in Europa.

Im Jahr 1890 veröffentlichten die US-Juristen Samuel D. Warren und Louis D. Brandeis im Harvard Law Review den Aufsatz „The Right to Privacy“ – das Recht auf Privatheit – und begründeten damit den modernen Datenschutz.

https://www.datenschutzzentrum.de/allgemein/20111219-Warren-Brandeis-Recht-auf-Privatheit.html

Noch in den 60er-Jahren des 20. Jahrhunderts wurde die Diskussion über den Privatheitsschutz in den USA zumindest so intensiv geführt wie in Europa. Die Beiträge von Alan F. Westin aus dieser Zeit sind noch heute in mancher Hinsicht richtungsweisend. Während aber danach in Europa eine kontinuierliche Weiterentwicklung des Persönlichkeitsschutzes unter Berücksichtigung der technischen Entwicklung erfolgte, entstanden in den USA zwar eine Vielzahl von Datenschutzregeln; diese sind aber zumeist regional und immer sachlich beschränkt. Mit Artikel 8 der Europäischen Grundrechtecharta wurde europaweit explizit ein Grundrecht auf Datenschutz etabliert. Währenddessen blieb der Datenschutz in den USA ein unübersichtlicher, inkonsistenter Flickenteppich mit zwei großen Lücken: US-Sicherheitsbehörden haben äußerst weite Kompetenzen zu Eingriffen ins Persönlichkeitsrecht. Und der Bereich des Internetdatenschutzes für Erwachsene blieb bis heute vollständig den Selbstverpflichtungen der Wirtschaft überlassen.

Diese beiden Rahmenbedingungen haben massive Konsequenzen für den Datenschutz in Europa und konkrete praktische Effekte für die Menschen – auch in Schleswig-Holstein. Die informationellen Beziehungen zwischen Europa und den USA führen zu einer Weitergabe personenbezogener Daten von Europa in die USA, ohne dass die europäischen Datenschutzstandards gewahrt werden. Dies hat Konsequenzen z. B. für Auskunfts- und Löschansprüche nach der Weitergabe von Bankdaten (32. TB, Tz. 11.3), Fluggastdaten (30. TB, Tz. 11.1) oder bei sonstigen für Sicherheitszwecke übermittelten Informationen, da die Empfänger den Betroffenen keine informationelle Selbstbestimmung gewähren.

Zumindest quantitativ noch schwerwiegender ist, dass auf dem europäischen Markt agierende US-Internetunternehmen nach Heimatrecht nur beschränkten Restriktionen unterliegen und sich zugleich einer effektiven europäischen Datenschutzaufsicht zu entziehen versuchen. Insofern stand das Unternehmen Google in den vergangenen Jahren immer wieder im Fokus des ULD (33. TB, Tz. 7.2; 32. TB, Tz. 7.1, 7.2; 31. TB, Tz. 7.1-7.3, 10.5, 10.6; 30. TB, Tz. 7.4, 10.6; 29. TB, Tz. 10.6-10.9). Im Berichtszeitraum geriet Facebook mit seinem Internetangebot in das Blickfeld der Aufsichtsbehörden (Tz. 1.5, 7.1). Diese beiden Unternehmen sind aber nur die Spitze eines viel größeren Eisberges: Es vergeht kaum ein Tag, an dem das ULD nicht Anfragen zu weiteren global agierenden Internetunternehmen erhält, die in der Regel ihren Stammsitz in den USA haben. Die zentrale Fragestellung ist, wie der Datenschutz in Bezug auf die kommerzielle Nutzung von Internetdaten zu Werbezwecken realisiert werden kann (Tz. 7.3).

Das Safe-Harbor-Abkommen zwischen der EU und den USA verfolgt das Ziel, beim transatlantischen Datenaustausch mit den USA dort ein ansatzweise angemessenes Datenschutzniveau zu realisieren. Die hierzu bestehenden Vorbehalte bestätigen sich weiterhin (33. TB, Tz. 11.1; 32. TB, Tz. 11.4). Es mag viele US-Unternehmen geben, die mit großer Ernsthaftigkeit versuchen, die in dem Abkommen festgelegten Voraussetzungen für die Selbstzertifizierung zu erfüllen. Das Beispiel Facebook zeigt aber zugleich, dass die schwerfälligen Mechanismen des Abkommens es Unternehmen leicht machen, datenschutzwidrige Geschäftsmodelle zu betreiben. Insofern ist von großem Interesse, welche Resonanz die Beschwerde des ULD gegenüber der US-Verbraucherschutzbehörde FTC in Bezug auf Facebook findet, die nur zwei der Safe-Harbor-Prinzipien in Bezug auf wenige Funktionalitäten thematisiert (Tz. 7.1.4).

Die Diskussion einer Datenschutz-Grundverordnung in Europa (Tz. 2.5) hat in den USA heftige Diskussionen ausgelöst, ob das dort bestehende Datenschutzrecht noch zeitgemäß ist. Als direkte Antwort der US-Regierung auf den Vorschlag der EU-Kommission vom Januar 2012 darf der Vorschlag eines „Consumer Privacy Bill of Rights“ einen Monat später verstanden werden. Dieser Vorschlag ist jedoch aus europäischer Grundrechtssicht nicht adäquat: Es werden keine subjektiven Datenschutzrechte garantiert, sondern es wird auf eine nur begrenzt verbindliche Selbstregulierung der Wirtschaft gesetzt.

https://www.datenschutzzentrum.de/gesetze/Consumer-Privacy-Bill-of-Rights.html

11.5        Der Zugriff der USA auf europäische Daten

Ein spezielle Frage, bei der sich ungenügender Datenschutz in den USA im Sicherheitsbereich und transatlantische private Datenverarbeitung überschneiden, hat sich mit den zunehmenden Angeboten des Cloud Computing ergeben (Tz. 5.7, 11.3). Immer wieder erhält das ULD Anfragen, inwieweit eine Auftragsdatenverarbeitung bei Unternehmen durchgeführt werden darf und kann, die in den USA Tochterunternehmen betreiben. Über besondere Gesetze, u. a. den Patriot Act, und nach der Rechtsprechung in den USA ist es dortigen Sicherheitsbehörden möglich, in den USA verarbeitete Daten für Zwecke der Gefahrenabwehr, der Strafverfolgung oder der Geheimdienste zu beschlagnahmen. Das Recht erlaubt es darüber hinaus, über US-Tochterunternehmen Partnerfirmen in anderen Staaten zu zwingen, dort verarbeitete Daten herauszugeben. Dies betrifft auch die Datenverarbeitung in Europa.

Eine Analyse der Rechtssituation in den USA durch das ULD bestätigte das Problem. Anfragen bei Unternehmen ergaben, dass derartige territoriale Übergriffe auf die europäische Datenhoheit stattfinden, wenngleich sie nicht an der Tagesordnung sein sollen. Unsere Erkenntnisse werden durch eine Anfang 2013 bekannt gemachte, im Auftrag des Europäischen Parlaments erstellte Studie bestätigt, die hervorhebt, dass die Datenzugriffe geheim erfolgen, sodass eine quantitative oder qualitative Bewertung kaum möglich ist.

Als Konsequenz können wir nur empfehlen, auf Auftragsdatenverarbeitungen in den USA zu verzichten. Hinsichtlich der Inanspruchnahme von Unternehmen mit Sitz in Europa und Töchtern in den USA haben wir die Empfehlung ausgesprochen, ein explizites Verbot der Herausgabe von Daten an US-Behörden vertraglich zu vereinbaren und für den Fall einer absprachewidrigen Datenweitergabe eine erhebliche Vertragsstrafe vorzusehen. Letztlich liegt es in der Verantwortung der politisch Verantwortlichen in der deutschen Regierung sowie in der EU, mit den USA Regelungen auszuhandeln, die einen Schutz personenbezogener Daten bei Auftragsdatenverarbeitungsverhältnissen vor Zugriffen durch US-Behörden sicherstellen.

https://www.datenschutzzentrum.de/internationales/20111115-patriot-act.html

 

11.6        Internationale Standardisierung

Technische Datenschutzstandards sollen und können zur internationalen Vereinheitlichung im Umgang mit personenbezogenen Daten beitragen. Dabei darf es aber nicht zu einer Absenkung des Datenschutzniveaus kommen.

Das ULD ist im Rahmen seiner drittmittelfinanzierten Projektarbeit seit vielen Jahren in verschiedenen Gremien der nationalen und internationalen Datenschutzstandardisierung aktiv. Schwerpunkt der Arbeit war bislang die Mitwirkung in den Gremien der Internationalen Standardisierungsorganisation (ISO). Daneben brachte sich das ULD aktiv in die jüngste Arbeit des World Wide Web Consortiums (W3C) ein.

Innerhalb der ISO hat die Konkretisierung des Rahmenstandards ISO/IEC 29100 an Fahrt aufgenommen. Aufbauend auf den in diesem Dokument beschriebenen Prinzipien wurden mehrere Projekte mit großer Praxisorientierung initiiert. Das zuständige Komitee hat entschieden, bestehende Informationssicherheitsstandards um spezifische Anforderungskataloge für personenbezogene Daten zu erweitern; hierzu sind sowohl ein genereller Standard als auch ein Standard mit Ausrichtung auf Datenschutz im Cloud Computing in Vorbereitung. Außerdem entwickelt die Arbeitsgruppe zu Datenschutztechnologie und Identitätsmanagement einen Standard zum Privacy Impact Assessment. Hierdurch soll vereinheitlicht werden, wie vor der Einführung eines Verfahrens die mit ihm verbundenen Risiken abgeschätzt werden. Diese Entwicklung geht Hand in Hand mit aktuellen Diskussionen zur Novellierung des europäischen Datenschutzrechts in der neuen Datenschutz-Grundverordnung (Tz. 2.5), die in bestimmten Fällen die Durchführung einer solchen Risikoabschätzung vorschreibt.

Das W3C ist eine Standardisierungsorganisation, die sich insbesondere um die Entwicklung vontechnischen Protokollen und Standards für das Internet kümmert. Hier wird der Standard für die Beschreibung von Webseiten (HTML) entwickelt. Das W3C hat sich im vergangenen Jahr der Aufgabe angenommen, Transparenz und Wahlmöglichkeit im Bereich von Nutzer-Tracking und Profilbildung beim Surfen im Internet zu erhöhen. Beim Surfen hinterlässt jeder Nutzer Spuren, die insbesondere von Diensteanbietern und Werbetreibenden ausgewertet werden, um gezielt ihre Produkte zu bewerben. Durch die eingesetzten Verfahren ist es etwa möglich, dass man Werbung für Luxusartikel erhält, wenn früheres Surfverhalten darauf hinweist, dass man ein hohes Einkommen und die entsprechende Konsumbereitschaft hat. Durch den vom W3C entwickelten Standard unter dem Titel „Do Not Track“ – also sinngemäß „Verfolge mich nicht“ – soll den Nutzenden die Möglichkeit gegeben werden, den Anbietern von Diensten und Inhalten im Internet ihren Wunsch zu übermitteln, dass ihr Verhalten hierfür nicht oder in geringerem Umfang ausgewertet wird (Tz. 7.3).

Ein solcher Standard wäre für den Umgang mit Nutzungsdaten von europäischen Nutzenden durch nicht europäische Diensteanbieter im Internet von Bedeutung. Ein globaler industrieller Standard kann, wenn die Durchsetzung europäischen Datenschutzrechts aus praktischen Gründen bisher nicht gewährleistet wird, die Position der europäischen Nutzerinnen und Nutzer verbessern. Die Entwicklung dieses Standards wird von der betroffenen Industrie begleitet und sehr kontrovers diskutiert. Es bleibt abzuwarten, ob es gelingt, gegen Widerstände von Teilen der US-Industrie einen Standard zu setzen, der eine tatsächliche Verbesserung der Informations- und Wahlmöglichkeiten der Nutzenden mit sich bringt, die Durchsetzung europäischer Vorgaben erleichtert und dadurch zu mehr Akzeptanz beiträgt.

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel