11

Kernpunkte:

  • Leitlinien zu Targeting in sozialen Medien
  • Leitlinien zur Einwilligung
  • Konsequenzen aus dem EuGH-Urteil zum Privacy Shield

 

11  Europa  und Internationales

Für einen effektiven Datenschutz in Europa ist eine möglichst einheitliche Auslegung und Anwendung der Datenschutz-Grundverordnung wesentlich. Aus diesem Grund erarbeitet und veröffentlicht der Europäische Datenschutzausschuss (EDSA), das Gremium der Aufsichtsbehörden in Europa, Dokumente und Materialien, die wichtige Ergebnisse der Abstimmung unter den europäischen Aufsichtsbehörden enthalten. Die wesentliche Arbeit für solche Guidelines (Leitlinien) wird in den Arbeitsgruppen des Ausschusses, den Expert Subgroups, geleistet.

Diese war im Berichtsjahr natürlich stark von den datenschutzrechtlichen Herausforderungen und Problemen geprägt, die aufgrund des Auftretens der Pandemie seit dem Frühjahr 2020 entstanden sind. Vor allem die Positionierung des EDSA zu Fragen der Konzeption und – später – der länderübergreifenden Interoperabilität sogenannter Contact Tracing Apps war beherrschendes Thema im ersten Halbjahr 2020. Daneben konnten dennoch auch einige andere wichtige Themen bearbeitet werden.

Das ULD ist als Vertreter der Datenschutzaufsichtsbehörden der Länder Mitglied in der Key Provisions Expert Subgroup, die sich mit Grundsatzfragen beschäftigt. Als stellvertretender Ländervertreter ist das ULD in der Technology Expert Subgroup vertreten, die alle möglichen Aspekte zu Informations- und Kommunikationstechnologien und verwandten Themen in den Fokus nimmt. Weiterhin wirkt das ULD in thematisch passenden Unterarbeitsgruppen mit und entsendet zu Einzelfragen Vertreterinnen und Vertreter in die Arbeitsgruppen des EDSA.

Neben der regulären Arbeit als Mitglied in den Expert Subgroups, die u. a. darin besteht, die Interessen und Rechtsauffassungen der deutschen Aufsichtsbehörden der Länder einzubringen, beteiligten sich Mitarbeiterinnen und Mitarbeiter des ULD vereinzelt auch als (Co-)Berichterstatter.

Im Berichtsjahr betrifft die Arbeit auf europäischer Ebene insbesondere Fragen der Technikentwicklung zur Kontaktnachverfolgung in der Coronapandemie (Tz. 11.1), Targeting in sozialen Medien (Tz. 11.2), Grundsatzfragen zur Einwilligung (Tz. 11.3), Verarbeitung personenbezogener Daten in vernetzten Fahrzeugen (Tz. 11.4) und die Auswertung des EuGH-Urteils zum Privacy Shield sowie den Vorschlag der Europäischen Kommission zu Standarddatenschutzklauseln (Tz. 11.5). Daneben war das ULD zu Fragen der Zertifizierung und Akkreditierung eingebunden (Tz. 9.4). Unter Beteiligung des ULD wurden 2020 u. a. folgende Arbeiten abgeschlossen:

  • Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
  • EDPB Letter concerning the European Commission’s draft Guidance on apps supporting the fight against the COVID-19 pandemic – 14/04/2020
  • Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak
  • Guidelines 05/2020 on consent under Regulation 2016/679
  • Statement on the data protection impact of the interoperability of contact tracing apps – 16/06/2020
  • Guidelines 08/2020 on the targeting of social media users – version for public consultation
  • Statement on the ePrivacy Regulation and the future role of Supervisory Authorities and the EDPB – 19/11/2020

Abrufbar sind diese und andere Arbeiten des EDSA unter:

https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_de
Kurzlink: https://uldsh.de/tb39-11-a

https://edpb.europa.eu/other-documents_de
Kurzlink: https://uldsh.de/tb39-11-b

 

11.1        Guidelines aus Europa – datenschutzkonforme Kontaktnachverfolgung
als Coronamaßnahme

Nachdem die Weltgesundheitsorganisation aufgrund der Verbreitung des Coronavirus SARS-CoV-2 und der COVID-19-Infektionen den Pandemiefall ausgerufen hatte, postulierten zahlreiche Politikerinnen und Politiker, dass es für geeignete Maßnahmen der Kontaktnachverfolgung erforderlich sei, alle verfügbaren Standort- und Bewegungsdaten der Menschen zu nutzen und darüber hinaus technisch weitere dieser Daten zu erheben. Parallel wurde mit der Arbeit an verschiedenen Apps begonnen, die Bausteine der Pandemiebekämpfung darstellen sollten.

Hinsichtlich sogenannter Contact Tracing Apps (wie z. B. der in Deutschland verwendeten Corona-Warn-App) haben die Datenschutzbehörden in mehreren Veröffentlichungen Stellung bezogen und Maßgaben und Empfehlungen erarbeitet, die bei Entwicklung und Betrieb solcher Apps zu berücksichtigen sind. Auf eine Anfrage der Europäischen Kommission hin hat der EDSA erste Empfehlungen ausgesprochen und u. a. den Standpunkt vertreten, dass die Nutzung einer Contact Tracing App auf freiwilliger Basis geschehen und zeitlich begrenzt sein müsse (Letter concerning the European Commission’s draft Guidance on apps supporting the fight against the COVID-19 pandemic). Dieses Schreiben ist unter dem folgenden Link abrufbar:

https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-concerning-european-commissions-draft-guidance-apps_de
Kurzlink: https://uldsh.de/tb39-11-3a

In sehr kurzer Zeit erstellten die Aufsichtsbehörden unter maßgeblicher Beteiligung auch des ULD Leitlinien in Bezug auf Contact Tracing Apps, die im April 2020 als „Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak“ vom EDSA veröffentlicht wurden. Darin bekräftigte der EDSA seine initialen Empfehlungen und hob u. a. hervor, dass Personen, die Contact Tracing Apps nicht nutzen möchten oder können, keine Nachteile entstehen dürfen. Außerdem wurde darauf hingewiesen, dass für Kontaktnachverfolgungs-Apps die Erfassung von Standorten der einzelnen Nutzerinnen und Nutzer nicht erforderlich ist und stattdessen Begegnungsdaten verwendet werden sollten. Ferner sollten Apps zur Kontaktnachverfolgung ohne eine direkte Identifizierung von Einzelpersonen funktionieren können und es sollten geeignete Maßnahmen getroffen werden, um eine Deanonymisierung zu verhindern. Die erhobenen Informationen sollten im Endgerät, beispielsweise im Smartphone der Nutzerin oder des Nutzers, verbleiben; es sollten lediglich die absolut notwendigen Informationen erhoben werden.

Der EDSA stellt abschließend klar, dass automatisierte Datenverarbeitung und digitale Technologien bei der Bekämpfung von COVID-19 zwar eine zentrale Rolle spielen können, jedoch zu gewährleisten ist, dass „jede unter diesen außergewöhnlichen Umständen ergriffene Maßnahme notwendig, zeitlich begrenzt und von minimaler Tragweite ist und einer regelmäßigen, konkreten Überprüfung sowie einer wissenschaftlichen Bewertung unterliegt“. Der EDSA betont außerdem, „dass es nicht dazu kommen dürfe, zwischen einer wirksamen Reaktion auf die derzeitige Krise und dem Schutz unserer Grundrechte wählen zu müssen.“

Die „Leitlinien 04/2020 für die Verwendung von Standortdaten und Tools zur Kontaktnachverfolgung im Zusammenhang mit dem Ausbruch von COVID-19“ sind unter dem folgenden Link abrufbar:

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_de
Kurzlink: https://uldsh.de/tb39-11-3b

Die Anregung des EDSA, dass „ein gemeinsamer europäischer Ansatz ausgearbeitet oder zumindest ein interoperabler Rahmen geschaffen werden sollte“, führte zu weiteren Fragen, die im Juni 2020 in der „Erklärung über die Datenschutzfolgen der Interoperabilität von Kontaktnachverfolgungs-Apps“ aufgegriffen und stärker beleuchtet wurden:

https://edpb.europa.eu/our-work-tools/our-documents/other/statement-data-protection-impact-interoperability-contact-tracing_de
Kurzlink: https://uldsh.de/tb39-11-3c

Hervorzuheben ist die konstruktive Hilfestellung durch den EDSA, die in dieser außergewöhnlichen Situation in kurzer Zeit erarbeitet, abgestimmt und veröffentlicht wurde. Auch wir haben uns hier mit juristischer und technischer Expertise im Sinne besonders datenschutzfreundlicher und vertrauenswürdiger Technikentwicklung eingebracht. Damit konnte Einfluss auf die Gestaltung von nationalen und europäischen Contact Tracing Apps genommen werden – ein den Datenschutz ignorierender Schnellschuss, wie er wohl einigen Politikerinnen und Politikern in vielen Ländern vorschwebte, konnte auf diese Weise zumindest in diesem Bereich vermieden werden.

 

11.2        Guidelines aus Europa – Targeting in sozialen Medien

Anfang 2018 wurde ein Datenskandal von riesigem Ausmaß aufgedeckt: Die Firma Cambridge Analytica hatte sich über eine vermeintlich wissenschaftliche App Zugang zu Daten Millionen von Facebook-Nutzerinnen und -Nutzern verschafft, darunter auch Ergebnisse von Persönlichkeitstests und Informationen zu den sozialen Beziehungen im Netzwerk. Diese Daten flossen in psychologische Profile ein und wurden u. a. für individualisierte Wahlwerbung genutzt. Die Firma erweckte den Eindruck, dass sie mit diesen sehr detaillierten Kenntnissen Wahlentscheidungen beeinflussen könnte. Wie groß der Effekt der Manipulation der Menschen tatsächlich war, ist zwar umstritten. Doch dass auf Personen zugeschnittene Werbung – beispielsweise durch geschicktes Anpassen und emotionale Trigger – vielfach funktioniert und Einfluss auf unsere demokratische Gesellschaft nehmen kann, ist nicht von der Hand zu weisen.

Aus diesem Grund beschloss die Artikel-29-Datenschutzgruppe, eine Social-Media-Arbeitsgruppe einzurichten, der das Mandat erteilt wurde, eine Leitlinie in Bezug auf das Targeting (gezielte werbliche Ansprache) von Social-Media-Nutzerinnen und -Nutzern auszuarbeiten. Unter Berücksichtigung der Urteile des EuGH in Sachen „Wirtschaftsakademie“, „Jehovas Zeugen“ und „Fashion ID“ ergaben sich viele Fragen, insbesondere zur Verteilung der Rollen und Verantwortlichkeiten zwischen einerseits den Social-Media-Plattformen, die Targeting-Funktionen anbieten, und andererseits Unternehmen oder anderen Organisationen, die diese Targeting-Funktionen nutzen.

Inhalt der Leitlinien „Guidelines 08/2020 on the targeting of social media users“, an deren Erarbeitung wir maßgeblich beteiligt waren, sind zahlreiche Fallbeispiele, die verdeutlichen, wie sich die Verteilung von datenschutzrechtlicher Verantwortlichkeit nach Ansicht des EDSA darstellt und welche Pflichten für die Beteiligten daraus resultieren. Auch wird erläutert, welche Rechtsgrundlagen unter welchen Bedingungen in typischen Konstellationen in Betracht kommen.

Die Leitlinien wurden im September vom Plenum verabschiedet. Daran schloss sich eine öffentliche Konsultation an. Die zahlreichen Rückmeldungen werden zurzeit ausgewertet, um sodann unter deren Berücksichtigung dem Plenum eine finale Version der Leitlinien vorlegen zu können.

Die zunächst nur in Englisch verfügbaren Guidelines sind unter dem folgenden Link abrufbar:

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-082020-targeting-social-media-users_de
Kurzlink: https://uldsh.de/tb39-11-2

 

11.3        Guidelines aus Europa – Überarbeitung und Ergänzung der Leitlinien zur Einwilligung

Erwägungsgrund 32 der DSGVO (Einwilligung)

 Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist […] Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. […]

Unionsrechtliche Grundlage u. a. für die Verarbeitung personenbezogener Daten durch sogenannte Cookies ist die ePrivacy-Richtlinie (2002/58/EG, zuletzt geändert durch die sogenannte Cookie-Richtlinie 2009/136/EU). Anders als bei einer europäischen Verordnung (wie der DSGVO) verbleibt ein gewisser Spielraum bei der Umsetzung der Richtlinie durch die Mitgliedstaaten der Union. Um Konsistenz zwischen den aufsichtsbehördlichen Auffassungen und den darauf aufbauenden mitgliedstaatlichen Orientierungshilfen bezüglich der Verwendung von Cookies herzustellen, tauschen sich die Aufsichtsbehörden der Mitgliedstaaten auf Arbeitsebene fortlaufend aus und stimmen sich ab.

In diesem Zusammenhang wurden die Leitlinien zur Einwilligung „Guidelines 05/2020 on consent under Regulation 2016/679“ überarbeitet und dabei vor allem klarstellende Ergänzungen vorgenommen: Bezüglich der Anforderungen an eine wirksame Einwilligung verweist die ePrivacy-Richtlinie auf das allgemeine Datenschutzrecht und damit nunmehr (seit deren Geltung, also ab dem 25.05.2018) auf die DSGVO. Insbesondere wurde durch die Ergänzungen in den Leitlinien klargestellt, dass das bloße Weiternutzen einer Webseite nicht als wirksame Einwilligung angesehen werden kann, weil eine solche Aktivität unter keinen Umständen dem Erfordernis einer klaren und bestätigenden Handlung genügt.

Die (aktualisierten) Leitlinien sind unter dem folgenden Link abrufbar:

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_de
Kurzlink: https://uldsh.de/tb39-11-3

 

11.4        Guidelines aus Europa – vernetzte Fahrzeuge und Mobilitätsanwendungen

Die Nutzung heutiger Autos ist kaum noch möglich, ohne dass eine Vielzahl an personenbezogenen Daten verarbeitet wird. Infotainment-, Verkehrsinformations- und diverse Fahrassistenzsysteme gehören mittlerweile nicht nur in Oberklassemodellen zur Ausstattung. Rund um heutige Autos hat sich daher ein komplexes Ökosystem gebildet. In vielen Modellen, die in den letzten Jahren auf den Markt gekommen sind, sind Sensoren und vernetzte Bordgeräte integriert, die u. a. die Motorleistung, die Fahrgewohnheiten, die besuchten Orte oder auch biometrische Daten der Fahrerinnen und Fahrer zu Authentifizierungs- oder Identifizierungszwecken sammeln und aufzeichnen können.

Um in diesem komplexen Bereich Orientierung zu geben, beschäftigt sich der EDSA in den Leitlinien mit diesem Ökosystem und konzentriert sich dabei insbesondere auf die Verarbeitung personenbezogener Daten betroffener Personen (z. B. Fahrerinnen und Fahrer, Passagiere, Fahrzeugbesitzerinnen und -besitzer, Mieterinnen und Mieter usw.), die innerhalb des Fahrzeugs verarbeitet, zwischen dem Fahrzeug und den damit verbundenen persönlichen Endgeräten (wie z. B. einem Smartphone oder Navigationsgerät) ausgetauscht oder innerhalb des Fahrzeugs gesammelt und an externe Stellen zur weiteren Verarbeitung exportiert werden (z. B. an Fahrzeughersteller, Infrastrukturbetreiber, Versicherungen oder Autowerkstätten).

Die Leitlinien befanden sich in der öffentlichen Konsultation. Eine überarbeitete Version wird aller Voraussicht nach im ersten Quartal 2021 verabschiedet werden. Abrufbar sind die Leitlinien „Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications“ (bisher nur in Englisch) hier:

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_de
Kurzlink: https://uldsh.de/tb39-11-4a

Da es sich bei vernetzten Fahrzeugen um funkfähige Systeme handelt, können sie passiv geortet werden, z. B. per WLAN- oder Bluetooth-Tracking. In diesem Sinne unterscheiden sie sich nicht von anderen verbundenen Endgeräten. Die Leitlinien beschäftigen sich nicht im Detail mit dieser Frage, weisen jedoch ausdrücklich auf diesen Problembereich hin und verlinken zur Arbeit des ULD, da wir uns etwas eingehender damit beschäftigt haben:

https://www.datenschutzzentrum.de/artikel/1269-Location-Services-can-Systematically-Track-Vehicles-with-WiFi-Access-Points-at-Large-Scale.html
Kurzlink: https://uldsh.de/tb39-11-4b

 

11.5        Technische und vertragliche Empfehlungen bei Drittstaatentransfers

Im Urteil des EuGH zur Rechtssache C-311/18 („Schrems II“) zu Datenübertragungen in die USA wurde festgestellt, dass neben dem für ungültig erklärten Privacy Shield auch die Nutzung der von der EU genehmigten Standarddatenschutzklauseln (auch teilweise als Standardvertragsklauseln bezeichnet) gegebenenfalls nicht ohne Weiteres ausreicht, um eine Datenübermittlung in die USA zu legitimieren.

Diese Feststellung des Gerichts ist konsequent – gehörten doch zu den wesentlichen Kritikpunkten des EuGH Art und Umfang staatlicher Zugriffe, beispielsweise durch Geheimdienste, und mangelnde Rechtsschutzmöglichkeiten für die Betroffenen. Dass vertragliche Regelungen zwischen Datenverarbeitern auf solche Zugriffe nur wenig Einflussmöglichkeiten haben, leuchtet ein und war auch schon bei der ersten Entscheidung des EUGH zu Datenübermittlungen in die USA im „Safe Harbor“-Urteil problematisiert worden (36. TB, Tz. 11.1).

Dennoch hängt es von den genauen Umständen ab, ob durch eine Datenübermittlung in einen Drittstaat (d. h. in einen Staat außerhalb des örtlichen Geltungsbereichs der DSGVO) ein unvertretbares Risiko entsteht. Dazu hat der Europäische Datenschutzausschuss (EDSA) (38. TB, Tz. 11) Empfehlungen herausgegeben, mit denen Verantwortliche prüfen können, unter welchen Voraussetzungen eine solche Übermittlung möglich ist. Diese Empfehlungen „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“ sind hier abrufbar:

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_de
Kurzlink: https://uldsh.de/tb39-11-5a

Die Empfehlungen beschränken sich nicht auf die USA. Einer der Kernpunkte ist die Analyse der rechtlichen Situation einschließlich der praktischen Umsetzung im Empfängerland, um das dortige Datenschutzniveau einzuschätzen. Einen zweiten Kernpunkt bilden zusätzliche Maßnahmen, mit denen durch (vertragliche) Ergänzungen (sogenannnte „Supplementary Measures“) das Datenschutzniveau gegebenenfalls so weit angehoben werden kann, dass es den europäischen Vorgaben entspricht.

Dies erscheint zunächst widersinnig: Warum sollte eine vertragliche Bindung unbefugte Datenzugriffe durch Behörden im Empfängerland verhindern können? Bei näherem Hinsehen gibt es jedoch bedenkenswerte Aspekte: Nicht jedes Unterschreiten des europäischen Datenschutzniveaus beruht auf unbefugten staatlichen Zugriffen, sondern kann u. a. auch aus mangelnden datenschutzrechtlichen Regelungen, etwa zu Betroffenenrechten (z. B. Löschung, Auskunft, Berichtigung) oder zu Transparenz- und Dokumentationsverpflichtungen, resultieren. Diese lassen sich vertraglich ergänzen.

Daneben können in einigen Fällen technische Maßnahmen zum Einsatz kommen, mit denen sich unbefugte Zugriffe technisch unterbinden lassen. Typische Beispiele sind Verschlüsselungsverfahren, die wirksame Pseudonymisierung von Daten oder eine geteilte Verarbeitung. Auf diese Weise entsteht im besten Fall erst gar keine tatsächliche Möglichkeit eines unbefugten Zugriffs. In anderen Fällen, wenn beispielsweise die Verarbeitung von personenbezogenen Klartextdaten der Geschäftszweck ist, etwa bei Kommunikationsdiensten oder Servicediensten („Helpline“), sind bisher keine technischen Maßnahmen verfügbar.

Bis Ende 2020 befanden sich diese Empfehlungen in einer Konsultationsphase, sodass in Kürze möglicherweise Ergänzungen vorgenommen werden.

Parallel beschäftigt sich der EDSA mit überarbeiteten Standarddatenschutzklauseln, die von der Europäischen Kommission im Entwurf vorgelegt wurden. Dies wird vom EDSA generell begrüßt, dennoch werden vonseiten der Datenschutzaufsichtsbehörden in Europa Verbesserungen gefordert:

https://edpb.europa.eu/news/news/2021/edpb-edps-adopt-joint-opinions-new-sets-sccs_de
Kurzlink: https://uldsh.de/tb39-11-5b

Was ist zu tun?
Verantwortliche oder Auftragsverarbeiter, die bisher Daten auf Basis des Privacy Shield oder der Standarddatenschutzklauseln in die USA übertragen haben, müssen eine valide Rechtsgrundlage vorweisen können. Sie sollten mithilfe der von den Aufsichtsbehörden veröffentlichten Empfehlungen überprüfen, ob der bisherige Datentransfer auf vertraglicher Basis möglich ist oder ob die Datenverarbeitung im Sinne einer Rechtskonformität zu verändern ist. Datenexporteure sind verpflichtet, die Datenübermittlung auszusetzen oder zu beenden, wenn der Schutz der übermittelten Daten auch durch zusätzliche Maßnahmen nicht hinreichend sichergestellt werden kann.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel