2/2016 12,00 Euro 39. Jahrgang ISSN 0137-7767 ISSN .

Rote Linien zur EU-DSGVO Was ist daraus geworden?

■ Die Europäische Datenschutz-Grundverordnung – ein Überblick ■ Entscheidung des EuGH zum sog. Recht auf Vergessenwerden ■ Rote Linien eingehalten? Zur Verabschiedung der Datenschutz-Grundver- Deutsche Vereinigung für Datenschutz e.V Deutsche Vereinigung www.datenschutzverein.de ordnung ■ Nachrichten ■ Rechtsprechung ■ Buchbesprechungen ■ Inhalt

Thilo Weichert Konferenz der Datenschutzbeauftragten des Die Europäische Datenschutz-Grundverordnung – Bundes und der Länder ein Überblick 48 Stärkung des Datenschutzes in Europa – Sabine Leutheusser-Schnarrenberger nationale Spielräume 75 Entscheidung des EuGH zum sog. Recht auf Douwe Korff Vergessenwerden 56 Privacy seals in the new EU General Data Protection Dr. Robert Selk Regulation: Threat or facilitator? 77 EU-DS-GVO: Neue Anforderungen an Peter Schaar die Einwilligung? 59 Europäischer Datenschutz: Ende gut, alles gut? 80 Werner Hülsmann vzbv – Florian Glatzner Die Europäische Datenschutzgrundverordnung Datenschutz in Europa: Die roten Linien des vzbv und ihre Auswirkungen auf den betrieblichen zur europäischen Datenschutz-Grundverordnung – revisited 82 Datenschutz 62 Werner Hülsmann BDfI – Andrea Voßhoff / Sven Hermerschmidt Gestaltungsspielräume für die Nationalstaaten und Rote Linien eingehalten? Zur Verabschiedung der Planungen des Bundesministeriums des Inneren 84 Datenschutz-Grundverordnung 68 Digitalcourage & BvD – Thomas Spaeing Deutsche Vereinigung für Datenschutz (DVD) Roten Linien des BvD zur DS-GVO – so sieht’s aus! 70 Position zur Ausgestaltung der Europäischen Datenschutz- digitalcourage – Friedemann Ebelt grundverordnung 86 Was taugt die neue Datenschutzgrundverordnung? 72 Frans Jozef Valenta Digitale Gesellschaft – Volker Tripp BigBrotherAwards 2016 88 Datenschutzgrundverordnung: Datenschutz Nachrichten – Deutschland 90 Überfällige Reform mit Abstrichen 73 Datenschutz Nachrichten – Ausland 97 GDD – Andreas Jaspers Datenschutz Nachrichten – Technik 105 Der Datenschutzbeauftragte in der Datenschutz- Grundverordnung – Handlungsbedarf des Rechtsprechung 107 deutschen Gesetzgebers 74 Buchbesprechungen 111

Termine

Sonntag, 18. September 2016 Samstag, 22. Oktober 2016 DVD-Vorstandssitzung DVD-Vorstandssitzung Kiel. Anmeldung in der Geschäftsstelle Bonn. Anmeldung in der [email protected] Geschäftsstelle [email protected] Montag, 19. September 2016 ULD-Sommerakademie Sonntag, 23. Oktober 2016 Kiel DVD-Mitgliederversammlung https://www.datenschutzzentrum.de/ Bonn. sommerakademie/ [email protected] 21. und 22. Oktober 2016 Geheimdienste vor Gericht: Humboldt-Universität und Maxim Gorki Theater Berlin http://www.ausgeschnueffelt.de

Foto: Uwe Schlick / pixelio.de

DANA • Datenschutz Nachrichten 2/2016 46 Editorial DANA Datenschutz Nachrichten Liebe Leserinnen und Leser, ISSN 0137-7767 39. Jahrgang, Heft 2 am 25.05.2016 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten (siehe dazu auch den einleitenden Artikel von Thilo Weichert in diesem Heft). Grund Herausgeber genug für uns, Ihnen mehrere Aspekte der neuen DSGVO genauer darzustellen. Deutsche Vereinigung für Datenschutz e.V. (DVD) Hierzu konnten wir Artikel von Sabine Leutheusser-Schnarrenberger zum Recht auf DVD-Geschäftstelle: Vergessen, von Robert Selk zu den neuen Anforderungen an Einwilligungen nach Reuterstraße 157, 53113 Bonn der DSGVO und von Werner Hülsmann zu den Anforderungen der DSGVO an den Tel. 0228-222498 betrieblichen Datenschutz gewinnen. IBAN: DE94 3705 0198 0019 0021 87 Sparkasse KölnBonn Wir haben mit dieser Ausgabe der DANA den beteiligten Organisationen, Verbän- E-Mail: [email protected] www.datenschutzverein.de den und Einzelpersonen, die sich in der DANA 3/2015 zu den roten Linien, die im Rahmen der Trilog-Verhandlungen zwischen EU-Parlament und EU-Rat nicht über- Redaktion (ViSdP) schritten werden durften, geäußert hatten, die Gelegenheit gegeben, ihre damaligen Frank Spaeing c/o Deutsche Vereinigung für Forderungen und die nun fertige DSGVO gegenüberzustellen. Fast alle Beteiligten Datenschutz e.V. (DVD) haben auch in dieser Ausgabe wieder mitgewirkt, in ihren Beiträgen ein Resümee Reuterstraße. 157, 53113 Bonn gezogen und mitunter auch gleich den deutschen Gesetzgebern noch Empfehlungen [email protected] für die Ausgestaltung des BDSG-Ablösegesetzes mitgegeben. Den Inhalt namentlich gekenn- zeichneter Artikel verantworten die jeweiligen Autoren. Sich diesem Themenblock anschließend haben wir in dieser Ausgabe einen weiteren Artikel von Werner Hülsmann, der die (in der DSGVO enthaltenen) Gestaltungs- Layout und Satz spielräume für die nationalen Gesetzgeber und die dazugehörigen Planungen des Frans Jozef Valenta, 53119 Bonn [email protected] Bundesministeriums des Inneren darstellt.

Druck Neben dem gemeinsamen Positionspapier von Digitalcourage und DVD zur konkre- Onlineprinters GmbH Rudolf-Diesel-Straße 10 ten Ausgestaltung der Spielräume rundet ein Artikel von Frans Jozef Valenta zum 91413 Neustadt a. d. Aisch BigBrotherAward 2016 die DANA ab. www.diedruckerei.de Tel. +49 (0)91 61 / 6 20 98 00 Natürlich fehlen auch in dieser Ausgabe nicht Datenschutznachrichten aus dem In- Fax +49 (0) 91 61 / 66 29 20 und Ausland, Technik-Nachrichten und Meldungen zu aktueller Rechtsprechung. Bezugspreis Einzelheft 12 Euro. Jahresabonne- Eine anregende und informative Lektüre wünscht Ihnen ment 42 Euro (incl. Porto) für vier Hefte im Kalenderjahr. Für DVD- Frank Spaeing Mitglieder ist der Bezug kostenlos. Das Jahresabonnement kann zum 31. Dezember­ eines Jahres mit einer Kündigungsfrist von sechs Wochen gekündigt werden. Die Kündigung ist Autorinnen und Autoren dieser Ausgabe: schriftlich an die DVD-Geschäftsstel- le in Bonn zu richten. Werner Hülsmann Copyright Vorstandsmitglied in der DVD, Mitglied des Beirats des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.V., selbständiger Datenschutzberater, externer Datenschutzbe- Die Urheber- und Vervielfältigungs- auftragter und Datenschutzsachverständiger, Ismaning und Berlin, [email protected] rechte liegen bei den Autoren. Der Nachdruck ist nach Genehmi- Sabine Leutheusser-Schnarrenberger gung durch die Redaktion bei Zu- sendung von zwei Belegexemplaren Bundesjustizministerin a. D., Mitglied des Google Advisory Council zum Recht auf Vergessen, [email protected] nicht nur gestattet, sondern durch- aus erwünscht, wenn auf die DANA Dr. Robert Selk als Quelle hingewiesen wird. Rechtsanwalt, Fachanwalt für IT-Recht und Datenschutzbeauftragter,Leiter des Fachausschusses Leserbriefe „Datenschutz“ der Deutschen Gesellschaft für Recht und Informatik, [email protected] Leserbriefe sind erwünscht. Deren Publikation sowie eventuelle Kür- Frans Jozef Valenta zungen bleiben vorbehalten. Grafik-Designer, Vorstandsmitglied in der DVD,[email protected] Abbildungen, Fotos Frans Jozef Valenta Dr. Thilo Weichert Ehemaliger Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein, Kiel, Vorstandsmitgied in der DVD, [email protected]

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 47 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Thilo Weichert Die Europäische Datenschutz-Grundverordnung – ein Überblick

1 Kurzgeschichte der hatte am 24.02.2011 Schlussfolgerun- - Für die Anwendbarkeit der EU-DS- Verordnung gen angenommen, in denen er das Re- GVO soll das Marktortprinzip gelten; formvorhaben der Kommission unter- d. h. die europäischen Verbraucher Am 08.04.2016 beschlossen der Rat stützte. Mit einer Entschließung vom und Betroffenen sollen durch das für der Europäischen Union (EU) und am 06.07.2011 hatte das EU-Parlament ei- sie vor Ort geltende europäische Recht 14.04.2016 das Parlament der EU ei- nen Bericht angenommen, der das Kom- geschützt werden, unabhängig davon, nen neuen Rechtsrahmen zum Schutz missionskonzept für die Reform der Da- wo die Datenverarbeitung erfolgt und personenbezogener Daten in der Euro- tenschutzregelungen guthieß. wo der Sitz der verarbeitenden Stelle päischen Union, auf die sich diese am liegt. 15.12.2015 mit der Kommission der EU 2 Rechtlicher Rahmen - Über den sog. One-Stop-Shop soll für im sog. Trilog geeinigt hatten. Dieser ein Unternehmen vorrangig die ört- Rechtsrahmen hat zwei Bestandteile, Die Vorschriften der nun verabschie- liche Datenschutzbehörde zuständig eine Richtlinie für den Datenschutz in deten Grundverordnung zielen auf zwei- sein, so dass eine Kommunikation den Bereichen Justiz und Polizei sowie erlei ab: auf den Schutz des Grundrechts in einer konkreten Frage zum Da- eine Europäische Datenschutz-Grund- auf Datenschutz und auf die Garantie tenschutz ausschließlich mit dieser verordnung (EU-DSGVO). Das Kern- des freien Verkehrs personenbezogener erfolgt. Die Abstimmung der Positi- stück des neuen Rechtsrahmens ist die Daten zwischen den Mitgliedstaaten. on dieser Aufsichtsbehörde mit den EU-DSGVO, mit der die Europäische In Art. 16 Abs. 1 des Vertrags über die anderen Aufsichtsbehörden, in deren Datenschutzrichtlinie (EG-DSRl) aus Arbeitsweise der Europäischen Union Zuständigkeit ein Unternehmen auf dem Jahr 1995 abgelöst wird. (AEUV) ist der Grundsatz verankert, dem Markt agiert, hat innerhalb des Der Diskussion über die EU-DSGVO dass jede Person das Recht auf Schutz administrativen Bereichs zu erfolgen. lag ursprünglich ein Vorschlag der EU- ihrer personenbezogenen Daten hat. Seit - Die Transparenz für die Betroffenen Kommission vom 25.01.2012 zugrunde. dem Vertrag von Lissabon verfügt die soll verbessert und den modernen Das EU-Parlament beschloss dann mit EU mit Art. 16 Abs. 2 AEUV über eine technischen Gegebenheiten angepasst großer Mehrheit am 12.03.2014 eine besondere Rechtsgrundlage für den Er- werden. Vielzahl von Änderungsvorschlägen. lass von Datenschutzvorschriften. - Der technische Datenschutz soll durch Mit Datum vom 15.06.2015 hatte sich Der europäische Rechtsrahmen zum neue Instrumente verbessert werden, der EU-Rat auf seine Haltung zur EU- Datenschutz in der EU hat zwei völker- bei denen die Prinzipien des Privacy DSGVO verständigt. Für die Erarbei- rechtliche bzw. verfassungsrechtliche by Design und Privacy by Default so- tung und Aushandlung der EU-DSGVO Grundlagen, nämlich Art. 8 der Euro- wie der Datensparsamkeit schon bei war das informelle Trilog-Verfahren ge- päischen Menschenrechtskonvention der Technikgestaltung berücksichtigt wählt worden, mit dem die Einberufung (EMRK) sowie die Art. 7 und 8 der werden. eines komplexen und möglicherweise Europäischen Grundrechtecharta (Eu- - Über eine Risikofolgenabschätzung zeitlich nicht überschaubaren Vermitt- GRCh). soll zwischen risikoreichen Anwen- lungsverfahrens vermieden wurde. dungen und sonstigen Verfahren diffe- Bevor die Kommission ihren Vor- 3 Zielsetzungen renziert werden. Bei geringerem Risi- schlag vorgelegt hatte, waren in Bezug ko soll für die Unternehmen der büro- auf den geplanten Rechtsrahmen zwei Zur Erreichung der Rechtsetzungszie- kratische Aufwand reduziert werden, Konsultationen durchgeführt wor- le – einem hohen Datenschutzstandard während bei komplexen Verfahren ein den und zwar die vom 09.07.2009 bis und dem freien Fluss personenbezoge- adäquater Schutz angestrebt wird. 31.12.2009 „zum Rechtsrahmen für das ner Daten im Binnenmarkt – schälten - Nicht nur der Datenaustausch inner- Grundrecht auf Schutz personenbezo- sich im Laufe der Diskussionen über die halb der EU bzw. des Binnenmarktes gener Daten“ sowie vom 04.11.2010 EU-DSGVO folgende Zwischenziele soll gefördert werden, sondern auch bis 15.01.2011 „zum Gesamtkonzept hieraus: mit Staaten, in denen ein angemesse- der Kommission für den Datenschutz - Es werden einheitliche verbindliche ner Datenschutz besteht. Fehlt dieser, in der Europäischen Union“. Ihr „Ge- Regelungen angestrebt, die europa- so sind verbindliche und rechtssichere samtkonzept“ hatte die EU-Kommission weit gelten und direkt anwendbar Instrumente für den Drittland-Daten- am 04.11.2010 vorgestellt. Der EU-Rat sind. transfer vorgesehen.

DANA • Datenschutz Nachrichten 2/2016 48 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

- Durch Verbesserung der Rechte der Kap. 7 Zusammenarbeit und Kohärenz tenschutzvorschriften“, was bisher mit Betroffenen und deren Möglichkeit, (60-76/54a-72) dem englischen Begriff „Binding Cor- durch administrative und gerichtliche Kap. 8 Rechtsbehelfe, Haftung und porate Rules“ (BCRs) bezeichnet wor- Verfahren Rechtsschutz zu erlangen, Sanktionen (77-84/73-79b) den ist (Art. 4). sollen die bestehenden Vollzugsdefizi- Kap. 9 Besondere Datenverarbei- te abgebaut werden. tungssituationen (85-91/80-85) 6 Grundprinzipien - Über präventiv wie auch repressiv Kap. 10 Delegierte Rechtsakte und wirkende angemessen hohe Sankti- Durch­führungsrechtsakte (92, Im deutschen Datenschutzrecht war onen soll die Bereitschaft zur Um- 93/86, 87) es bisher nicht üblich, Gesetzen Grund- setzung des Datenschutzes und zur Kap. 11 Schlussbestimmungen (94- prinzipien voranzustellen, anders nun in Compliance bei den verantwortlichen 99/88-91) Europa in Art. 5. Dies ist systematisch Stellen gefördert werden. zu begrüßen. Bei der Auslegung der 5 Anwendungsbereich weiteren Regelungen sollte und kann 4 Struktur des EU-DSGVO immer hierauf zurückgegriffen werden. Die EU-DSGVO wird die zentra- Außerdem wird dem mit dem Daten- Die Grundverordnung ist in 11 Kapitel le Datenschutzregelung in der EU, ist schutzrecht nicht vertrauten Menschen gegliedert, deren Struktur sich weitge- aber nicht in allen Bereichen in der kurz und bündig klargestellt, welche ge- hend an den bestehenden Datenschutzge- EU anwendbar. Dort, wo Unionsrecht nerellen Erwägungen die EU-DSGVO setzen und der EG-DSRl orientiert. Einen keine Gültigkeit hat, gilt auch die EU- prägen. Diese sind für erfahrene Anwen- Schwerpunkt und Innovationen setzt die DSGVO nicht. Entsprechendes gilt für der alle keine Unbekannten: Verordnung weniger im materiell-recht- Tätigkeiten nach Titel V Kapitel 2 EUV, - Rechtmäßigkeit, Verarbeitung nach lichen Bereich als im administrativen, also die gemeinsame Außen- und Si- Treu und Glauben, Transparenz, im technisch-organisatorischen sowie im cherheitspolitik. Für Tätigkeiten zum - Zweckbindung, prozeduralen Bereich. Die verbindlich Zweck der polizeilichen und justiziellen - Richtigkeit, geltende EU-DSGVO soll künftig an der Verhütung und Verfolgung von Strafta- - Erforderlichkeit, die etwas sperrig Spitze einer hierarchischen Regelungs- ten gilt die zeitgleich konsentierte EU- „Speicherbegrenzung“ genannt wird, struktur stehen, in der nationale Gesetze Datenschutzrichtlinie für Justiz und - Integrität und Vertraulichkeit, oder andere nachgeordnete Normen und Polizei. Weitere Ausnahmen sind die - Verantwortlichkeit, die unter dem Be- Festlegungen spezielle Präzisierungen personenbezogene Verarbeitung von griff „Rechenschaftspflicht“ geführt vornehmen können. Daten in ungeordneten Akten sowie, wird. Die Zählweise der Artikel orientierte wenn sich die Datenverarbeitung aus- sich während der Diskussion in den EU- schließlich auf den persönlichen oder Hervorzuheben ist, dass als weiterer Gremien an den Vorgaben der EU-Kom- familiären Bereich bezieht (sog. Haus- Grundsatz die „Datenminimierung“ mission. Da jedoch ganze Artikel und haltsausnahme). Soweit Organe der EU erwähnt wird. Wirtschaftsvertreter wie Absätze gestrichen und andere hinzuge- tätig werden, gilt weiterhin die Verord- auch die deutsche Bundesregierung hat- fügt wurden, erfolgte vor der Beschluss- nung EG Nr. 45/2001. Unberührt bleibt ten noch kurz vor Abschluss des Trilogs fassung eine neue Durchnummerierung. weiterhin die Datenschutzrichtlinie für dafür gekämpft, das Prinzip der Daten- Im folgenden Text werden die Artikel den Telekommunikationsbereich, wel- sparsamkeit aus der EU-DSGVO zu gemäß der endgültigen Beschlussfas- che die Verarbeitung von Bestands- und verbannen, weil damit die Chancen der sung nummeriert. Verkehrsdaten von Netzdiensteanbietern europäischen Wirtschaft bei der Ent- regelt (Art. 2). wicklung zukunftsweisender und luk- Gliederung EU-DSGVO (Ziffern vor Es gilt das Marktortprinzip. Danach rativer Big-Data-Konzepte beschnitten dem Schrägstrich Beschlussfassung/da- kommt es nicht darauf an, wo physisch würden. Davon unbeeindruckt findet sich hinter in der Entwurfsfassung) die Datenverarbeitung erfolgt. Relevant dieser Grundsatz nicht nur eingangs pro- Kap. 1 Allgemeine Bestimmungen (1- ist vielmehr, dass die Verarbeitung einer minent, sondern an vielen weiteren Stel- 4) verantwortlichen Stelle oder eines Auf- len, so insbesondere in Art. 25, wo als Kap. 2 Grundsätze (5-11/5-10) tragsdatenverarbeiters auf eine Person Instrumente der Datenminimierung die Kap. 3 Rechte der Betroffenen Person abzielt, die sich in der EU aufhält (Art. 3). Pseudonymisierung und „Privacy by De- (12-23/11-21) Die Begriffsbestimmungen bringen fault“ genannt werden, im Rahmen von Kap. 4 Für Verarbeitung Verantwort- im Vergleich zur EG-DSRl keine we- Zertifizierungen (Art. 25 Abs. 3), als Si- licher und Auftragsdatenverar- sentlichen inhaltlichen Änderungen, cherheitsmaßnahme (Art. 32 Abs. 1 lit. a) beiter (24-43/22-39a) wohl aber Erweiterungen: Neu definiert sowie als Kriterium für Verhaltensregeln Kap. 5 Übermittlung personenbezoge- werden z. B. Begriffe wie „Profiling“, (Art. 40 Abs. 2 lit. d). In Art. 11 wird ner Daten an Drittländer oder „Pseudonymisierung“, „genetische Da- explizit klargestellt, dass aus einer pseu­ an internationale Organisatio- ten“, „biometrische Daten“, „Haupt- donymen oder sonstwie datensparsamen nen (44-50/40-45) niederlassung“, „Vertreter“, „Unter- Verarbeitung keine Pflicht besteht, allein Kap. 6 Unabhängigkeit der Aufsichts- nehmen“, „Unternehmensgruppe“ oder zum Zweck der Einhaltung der Verord- behörden (51-59/46-54) „verbindliche unternehmensinterne Da- nung zusätzliche Daten einzuholen.

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 49 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Das schon bisher in der EG-DSRl Enthalten die bereichsspezifischen na- normiert: Wird für einen Vertrag oder geltende Verbot mit Erlaubnisvorbehalt tionalen Regelungen aber prozedurale eine Dienstleistung eine Einwilligung ergibt sich aus Art. 6, der die „Rechtmä- oder organisatorische Normen, insbe- abverlangt, „die für die Erfüllung des ßigkeit der Verarbeitung“ regelt. Über- sondere hinsichtlich des Datenschutz- Vertrags nicht erforderlich ist“, so ist sie sichtlicher und systematischer als z. B. managements bei den Verantwortlichen, im Zweifel nicht freiwillig. Unklar sind in den §§ 28 ff. BDSG werden die Le- der Selbstregulierung und der staatli- die Rechtsfolgen einer unzulässigen gitimationsmöglichkeiten für die Verar- chen Aufsicht, so kann insofern doch Koppelung. Diese dürfte die Unzuläs- beitung aufgezählt: eine Anpassung an die EU-DSGVO sigkeit der gesamten Einwilligung zur - Einwilligung, erforderlich sein. Jedenfalls ist die Be- Folge haben. In jedem Fall kann ein Wi- - Vertragserfüllung, fürchtung, dass nach Inkrafttreten der derruf der Einwilligung deren Wirkung - Erfüllung einer rechtlichen Verpflich- Verordnung alle bereichsspezifischen für die Zukunft aufheben. Bei der An- tung Gesetze in Deutschland zur Randnotiz wendung der Regelung kann es letztlich - Schutz lebenswichtiger Interessen, in der Datenschutzgeschichte würden, auch nicht darauf ankommen, ob eine - Erfüllung einer Aufgabe im öffentli- unbegründet. Einwilligung als solche oder als Ver- chen Interesse oder in Ausübung öf- Äußerst umstritten war Art. 6 Abs. 4, tragsbestandteil bezeichnet wurde. fentlicher Gewalt, der die Voraussetzungen für Zweckände- Die Autoren der EU-DSGVO legten - Wahrnehmung berechtigter Interes- rungen regelt. Die Norm muss im Zu- sich nicht auf eine Altersgrenze für die sen, sofern die schutzwürdigen Inter- sammenhang mit den Absätzen 1 und Einwilligungsfähigkeit von Kindern essen nicht überwiegen. 2 gelesen werden, in denen allgemeine bzw. Jugendlichen fest. In Deutschland Voraussetzungen für rechtmäßige Da- wird bisher auf die Einsichtsfähigkeit Der letztgenannte Punkt war umstrit- tenverarbeitungen definiert werden. Zu- abgestellt. Da hierüber in den nationa- ten. Während Datenschützer für eine sätzlich werden Kriterien benannt, die len Rechtskulturen unterschiedliche Eingrenzung der berechtigten Interessen bei einer Zweckänderung berücksichtigt Vorstellungen herrschten und eine Eini- plädierten, setzten sich vor allem der Rat werden müssen: a) die Verbindung des gung nicht möglich war, können die na- und die Wirtschaftslobby für eine Aus- neuen mit dem ursprünglichen Zweck, tionalen Gesetzgeber künftig zwischen weitung ein. Letztendlich kam es inso- b) der Erhebungszusammenhang, c) vollendetem 13. und 16. Lebensjahr fern zu keiner Änderung des bisherigen die Sensibilität der Daten, d) die mög- eigene Festlegungen vornehmen. Unter Rechtszustands, der eine offene Abwä- lichen Folgen der Weiterverarbeitung dieser Grenze muss bei einem Einwil- gungsformel enthält (z. B. § 28 Abs. 1 für die Betroffenen und e) angemessene ligungsbedarf die Zustimmung der El- S. 1 Nr. 2 BDSG). Schutzmaßnahmen wie z. B. Verschlüs- tern eingeholt werden. Es wird zudem Den Mitgliedstaaten wird in Art. 6 selung oder Pseudonymisierung. klargestellt, dass die Einwilligung zur Abs. 3 und 4 insbesondere für die Ver- Datenverarbeitung und die sonstige Ge- arbeitung öffentlicher Stellen und zur 7 Einwilligung schäftsfähigkeit getrennt voneinander Erfüllung rechtlicher Pflichten ein sehr zu beurteilen sind (Art. 8). weitgehendes Konkretisierungsrecht Die Einwilligung ist und bleibt eine zugesprochen. Dabei sind aber Regeln zentrale Legitimation für die Daten- 8 Besondere Datenkategorien zu beachten: So muss eine klare Zweck- verarbeitung (Art. 7). Die Diskussion bestimmung erkennbar sein. Eine Präzi- über die Bedeutung, die Voraussetzun- Hinsichtlich der Verarbeitung sensi- sierung kann hinsichtlich der Datenar- gen und die Rahmenbedingungen von tiver Daten, also von Daten aus „be- ten, der Verarbeitungsbedingungen, der datenschutzrechtlichen Einwilligungen sonderen Kategorien“, gibt es keine Betroffenen, der verarbeitenden Stellen wird seit Jahren engagiert geführt. Diese wesentlichen Änderungen: Einen be- und der Speicherfristen erfolgen. Zu be- Debatte findet mit der EU-DSGVO kein sonderen Schutz gibt es auch in Zu- achten ist, dass immer ein im öffentli- Ende, wohl erfolgen aber einige Kon- kunft für Daten zur rassischen und eth- chen Interesse liegendes Ziel in verhält- kretisierungen. Die allgemeinen Anfor- nischen Herkunft, zu politischen Mei- nismäßiger Weise verfolgt wird. derungen an die Einwilligung ändern nungen, religiösen oder weltanschauli- Damit können die meisten in Deutsch- sich jedoch nicht: inhaltliche Bestimmt- chen Überzeugung, Gewerkschaftszu- land geltenden bereichsspezifischen Da- heit, Hervorhebungspflicht, Widerrufs- gehörigkeit, Gesundheit, Sexualleben tenschutzregelungen beibehalten wer- möglichkeit, Freiwilligkeit. und sexueller Ausrichtung. Eine Prä- den. Die in der Verordnung genannten Konkretisierungen hinsichtlich der zisierung erfolgt dadurch, dass in den Anforderungen an solche bereichsspezi- Einwilligungserfordernisse bestehen Katalog die genetischen Daten sowie fischen Regelungen entsprechen denen insofern, als die Einwilligung bzw. das biometrische Daten zur eindeutigen des deutschen Bundesverfassungsge- Ersuchen danach „in verständlicher und Personenidentifizierung aufgenommen richts (BVerfG) an die Verfassungsmä- leicht zugänglicher Form in einer klaren wurden (Art. 9). Trotz der zunehmen- ßigkeit gesetzlicher Regelungen zur und einfachen Sprache“ zu erfolgen hat. den Schutzbedürftigkeit von Finanz- personenbezogenen Datenverarbeitung. Beim Widerruf dürfen keine formellen transaktionsdaten, die sich durch die Dies hat zur Folge, dass materiell ver- Hürden errichtet werden. In Art. 7 Abs. 4 zunehmende Digitalisierung des Zah- fassungswidrige Gesetze auch der EU- wird unter dem Stichwort Freiwilligkeit lungsverkehrs und deren Bedeutung für DSGVO widersprechen und umgekehrt. ein eingegrenztes Koppelungsverbot Identitätsdiebstähle ergibt, wurde die

DANA • Datenschutz Nachrichten 2/2016 50 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Kategorie nicht in den Schutzbereich nal, das z. B. einem besonderen Berufs- Berichtigungsanspruch auch das Recht der sensitiven Daten aufgenommen. geheimnis unterliegt. Das vorliegende auf Vervollständigung unvollständiger Die Ausnahmen von dem grundsätz- Regelungskonzept machte es überflüs- Daten gehört. Der Löschanspruch wird lichen Verarbeitungsverbot erinnern an sig, nochmals gesondert die Verarbei- mit dem schillernden Marketing-Begriff den bisherigen europäischen Regelungs- tung für Gesundheitszwecke zu normie- des „Rechts auf Vergessenwerden“ flan- rahmen. Als Ausnahme wird zunächst ren, wie es zunächst von der Kommissi- kiert. Als Abwägungstopoi für den Lö- die explizite Einwilligung genannt. Es on in einem Art. 81 vorgesehen war (sie- schungsanspruch werden die Rechte auf ist erfreulich, dass in begründeten Fällen he aber Art. 90 zu Berufsgeheimnissen freie Meinungsäußerung und auf Infor- spezialgesetzliche Einwilligungsverbote allgemein). Werden Berufsgeheimnisse mation genannt. ausdrücklich zugelassen werden. In fol- nicht von den in Art. 9 genannten Tat- Neu ist das Recht auf Datenübertrag- genden Fällen muss keine Einwilligung beständen erfasst, so muss im Einzelfall barkeit. Dieses Recht bezieht sich auf eingeholt werden: bei Ausübung von geprüft werden, ob die in § 203 StGB Daten, die ein Wirtschaftsunternehmen Rechten aus dem Arbeitsrecht, der sozi- sowie in weiteren nationalen Spezialge- vom Betroffenen auf der Basis eines alen Sicherheit und des Sozialschutzes, setzen enthaltenen Berufsgeheimnisse Vertrages oder einer Einwilligung erhal- zum Schutz lebenswichtiger Interessen von nationalen Ausnahmeklauseln er- ten hat. Wenn die Verarbeitung automa- bei Einwilligungsunfähigkeit, bei der fasst werden und ob eine Kollision zur tisiert erfolgt, soll der Betroffene deren Verarbeitung durch einen sog. Tendenz- EU-DSGVO entstanden ist. Bereitstellung in einer zu einem anderen betrieb, bei vom Betroffenen offenkun- Für Daten über strafrechtliche Verur- Unternehmen übertragbaren Form ver- dig veröffentlichen Daten, zur Durch- teilungen und Straftaten oder damit zu- langen können. Die Datenübertragung setzung rechtlicher Ansprüche, zur sammenhängende Sicherungsmaßregeln kann über den Betroffenen, aber wahl- Gesundheitsvorsorge, Arbeitsmedizin, werden in Art. 10 spezifische Verar- weise auch direkt zum neuen Dienstean- medizinischen Diagnostik, zur Versor- beitungsvoraussetzungen benannt: Die bieter erfolgen (Art. 20). Wie dies in der gung und Behandlung, zur Verwaltung Verarbeitung muss „unter behördlicher Praxis umgesetzt werden soll, ist sowohl im Gesundheits- und Sozialbereich, im Aufsicht“ erfolgen; anderenfalls bedarf technisch als auch (außerhalb des An- öffentlichen Gesundheitswesen, für Ar- es angemessener gesetzlicher Garantien. wendungsbeispiels „soziale Netzwer- chivzwecke, zur wissenschaftlichen und ke“) vom Umfang her noch weitgehend historischen Forschung und für statisti- 9 Betroffenenrechte unklar. sche Belange. Die Regelung zur automatisierten Die gegenüber den bisherigen Erlaub- Die Rechte der Betroffenen und de- Einzelentscheidung wird mit dem Zu- nistatbeständen zur Verarbeitung sensi- ren Beschränkungen sind in den Art. satz „einschließlich Profiling“ ergänzt. tiver Daten vorgenommenen Änderun- 12 bis 23 geregelt. Anders als bisher ist Letztlich wird versucht, damit einen gen sollen bisherige Regelungsdefizite der Normierung der einzelnen Rechte Teilbereich so genannter Big-Data-Aus- beseitigen. So wird nicht mehr zwischen ein allgemeiner Teil vorangestellt, in wertungen zu regulieren. Da der Verord- öffentlicher und privater Verwaltung dem Adressatengerechtigkeit, Präzision, nungsgeber erkannt hat, dass ihm hierzu von Systemen und Diensten im Gesund- Transparenz, Verständlichkeit, leichte sowohl Erfahrung als auch das nötige heits- und Sozialbereich unterschieden, Zugänglichkeit und weitestgehende Un- differenzierende Instrumentarium feh- so dass, anders als bisher, Privatversi- entgeltlichkeit eingefordert werden. Als len, behilft er sich erneut mit einer Öff- cherungen von der Ausnahmeregelung Standard-Reaktionsfrist wird der verant- nungsregelung für die nationalen oder mit erfasst sein können. wortlichen Stelle ein Monat vorgegeben europäischen Normgeber. Um in die- Bzgl. der sensitiven Daten beste- (Art. 12). sem exorbitant wichtigen Feld aber die hen weitgehend nationale gesetzliche Die meisten der normierten Betroffe- europarechtliche Kontrolle zu wahren, Konkretisierungsmöglichkeiten, wobei nenrechte sind bekannt: Information bei werden bei der Normierung „geeignete erhöhte Verarbeitungsvoraussetzun- der Erhebung (Art. 12) bzw. Informati- Maßnahmen zum Schutz der Rechte und gen nötig sein können. Damit kann das on, wenn die Daten nicht beim Betroffe- Freiheiten“ gefordert. Problematisch an hochkomplexe Regelungsgeflecht beim nen erhoben werden (Art. 14), Auskunft der Regelung bleibt, dass Big-Data-An- Datenschutz im deutschen Sozialrecht (Art. 15), Berichtigung (Art. 16), Lö- wendungen, die nicht auf „Entscheidun- weitgehend beibehalten werden. So sehr schung (Art. 17), Sperrung (Art. 18), gen“ hinauslaufen, ausdrücklich nicht das von Seiten der Verantwortlichen be- was technisch präziser als „Einschrän- erfasst werden. Bisher war streitig, ob grüßt werden dürfte, so schade ist es, kung der Verarbeitung“ bezeichnet wird, die Entscheidung, jemandem auf Basis dass die EU-DSGVO nicht dazu zwingt, Widerspruch generell (Art. 21) bzw. bei von Profiling Werbung zuzusenden, un- das unstrukturiert gewordene Daten- automatisierten Einzelentscheidungen ter die Regelung zu automatisierten Ent- schutzrecht in den Sozialgesetzbüchern (Art. 22) und der zu einem Nutzungs- scheidungen fällt. Durch die Einbezie- I bis XII einer Totalrevision und Berei- verbot für Werbezwecke führende spe- hung des Profiling kann herausgelesen nigung zu unterwerfen. zifische Werbewiderspruch (Art. 21 werden, dass diese Streitfrage zumin- In der Verordnung wird ein spezifisch Abs. 2 u. 3). dest beim Einsatz dieser Methode, was (national) regelungsfähiger Aspekt ex- Gegenüber den bisherigen Regelun- auch immer genau darunter verstanden plizit erwähnt: die Verarbeitung beson- gen gibt es einige kleine Verbesserun- wird, zugunsten der Betroffenen zu be- ders sensibler Daten durch Fachperso- gen: So wird klargestellt, dass zum antworten ist.

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 51 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Eine ungewöhnliche, aber angesichts wenden können. Angesichts der zuneh- besondere Verarbeitungsrisiken, etwa der anscheinend bestehenden nationalen menden Arbeitsteilung bei der Daten- durch die Verarbeitung von besonderen Unterschiede einzig konsensfähige Re- verarbeitung, die oft nicht auf expliziten Datenkategorien oder von Daten über gelung wurde bei der Beschränkung der textlichen Vereinbarungen basiert, kann Straftaten. Betroffenenrechte gewählt: Während bezweifelt werden, ob mit der Regelung An die Stelle des technisch völlig das Betroffenenrecht selbst sich direkt ein Fortschritt erreicht wird, der über die überholten § 9 BDSG mit Anlage tritt aus der Verordnung ergibt, werden die reine Benennung des Problems hinaus- hinsichtlich der technisch-organisatori- Einschränkungen national geregelt, wo- geht. Insofern hat der EuGH vom deut- schen Maßnahmen der Art. 30. Dieser bei dem nationalen Gesetzgeber hierfür schen Bundesverwaltungsgericht (BVer- fordert statt bestimmter Schutzmaß- materielle Vorgaben gemacht werden. wG) die Gelegenheit erhalten, eine dann nahmen die Einhaltung der Schutzziele Dabei werden bekannte Abwägungs- auch für die EU-DSGVO geltende Inter- Vertraulichkeit, Integrität, Verfügbar- muster benannt, vom „Schutz der nati- pretation vorzugeben, nachdem dieses keit und Belastbarkeit und benennt als onalen Sicherheit“ bis zum „Schutz der dem EuGH am 25.02.2016 Fragen zur Instrumente u. a. die Pseudonymisie- Rechte und Freiheiten anderer Perso- „Verantwortlichkeit“ von Facebook- rung und die Verschlüsselung. Warum nen“ (Art. 23). Fanpagebetreibern vorlegte. ausgerechnet diese Maßnahmen durch Fehlt es in der EU an einer zur Verant- explizite Nennung aus einer Vielzahl 10 Verantwortlichkeit wortung zu ziehenden Niederlassung, so möglicher Maßnahmen herausgehoben muss gemäß Art. 27 ein in der EU ansäs- werden und was unter „Belastbarkeit“ Im Kapitel IV der Verordnung werden siger „Vertreter“ benannt werden, der zu verstehen ist, bleibt zunächst das unter der Überschrift „Verantwortlicher im Auftrag der verantwortlichen oder Geheimnis des Gesetzgebers. Gefordert und Auftragsdatenverarbeiter“ verschie- der auftragsdatenverarbeitenden Stelle wird vor Durchführung einer Verarbei- dene Aspekte geregelt, unter anderem bzgl. aller Datenschutzfragen als „An- tung eine explizite Risikobewertung, ein auch, was bisher dem Begriff „tech- laufstelle“ tätig wird. darauf abgestimmtes Schutzkonzept so- nisch-organisatorische Maßnahmen“ Die Verarbeitung im Auftrag in Art. wie eine regelmäßige Evaluierung. behandelt wurde. Die nun vorgelegten 28 hat einen über den heutigen § 11 An die Stelle der bisherigen Vor- Regelungen gehen über das bisherige BDSG hinausgehenden Detaillierungs- abkontrolle tritt eine risikoorientierte Verständnis teilweise weit hinaus. Die grad, ohne aber die darin enthaltenen „Datenschutz-Folgeabschätzung“ bei Verantwortlichkeiten nach der EU-DS- Grundprinzipien in Frage zu stellen. spezifisch benannten Verfahren -(sys GVO beschränken sich auch nicht auf Die gegenseitigen Hinweis- und In- tematische Personenbewertung, Verar- dieses Kapitel, sondern erstrecken sich formationspflichten werden genauer beitung sensibler Daten, Überwachung natürlich zudem auf die – an anderer benannt. So soll der Auftragsverarbei- öffentlicher Räume) unter Einbeziehung Stelle geregelten – materiell-rechtlichen ter den Verantwortlichen präziser über eines möglicherweise vorhandenen Pflichten wie z. B. die Erlaubnisrege- Unterauftragsverhältnisse informieren. Datenschutzbeauftragten (Art. 35). Es lungen und die Umsetzung der Betrof- Unteraufträge müssen die gleiche Re- besteht die Pflicht zu einer „vorheri- fenenrechte. gelungstiefe aufweisen wie Aufträge. Es gen Konsultation“ der Datenschutzauf- Hinsichtlich der Datensicherheit wird, erfolgen Bezugnahmen zu genehmigten sichtsbehörde, wenn ein hohes Risiko anders dies bisher explizit der Fall war, Zertifizierungen nach Art. 42 sowie ge- besteht, sofern der „Verantwortliche ein risikoorientierter Ansatz verfolgt. nehmigten Standardvertragsklauseln. Es keine Maßnahmen zur Eindämmung des Dabei werden keine Schutzmaßnahmen wird klargestellt, dass ein Auftragsver- Risikos trifft“ (Art. 36). aufgeführt, sondern die Umsetzung von arbeiter, der auftragswidrig Zwecke und In den Art. 33 und 34 ist die Meldung Datenschutzgrundsätzen eingefordert, Mittel der Datenverarbeitung bestimmt, bzw. Benachrichtigung von Daten- zu denen auch die Datenminimierung als Verantwortlicher zu behandeln ist. schutzverletzungen gegenüber der Auf- zählt (vgl. Ziffer 8). Als beschränkte Ein erklärtes Ziel der EU-DSVGO sichtsbehörde sowie den Betroffenen Entlastung von Nachweispflichten wird ist es, den bürokratischen Aufwand des (sog. Breach Notification) geregelt. die in Art. 42 normierte Zertifizierung Datenschutzes abzubauen. Dies soll Entgegen der Befürchtung vieler deut- erwähnt (Art. 25 Abs. 3). aber nicht dazu führen, dass der für scher Datenschützer sind in den Art. 37 Der gemeinsamen Verantwortlichkeit einen wirksamen Datenschutz nötige bis 39 prominent die Benennung, die mehrerer Stellen, die begründet wird Aufwand nicht erbracht wird. Und nötig Stellung und die Aufgaben der (betrieb- durch die gemeinsame Festlegung der ist in jedem Fall der Überblick über die lichen bzw. behördlichen) Datenschutz- Zwecke und Mittel der Datenverarbei- personenbezogene Datenverarbeitung beauftragten normiert und festgeschrie- tung, wird ein eigenständiger Artikel 26 für den Verantwortlichen bzw. Vertreter, ben. Die Pflicht zur Bestellung besteht gewidmet. Dabei wird, anders als bis- weshalb diese weiterhin ein Verfahrens- bei öffentlichen Stellen, bei der „syste- her, eine „Vereinbarung in transparenter verzeichnis, genauer ein „Verzeichnis matischen Beobachtung von betroffenen Form“ gefordert, in der die Verantwor- von Verarbeitungstätigkeiten“ führen Personen“ und bei der Verarbeitung sen- tungsverteilung zu regeln ist. Fehlt eine muss (Art. 30). Dies gilt auch für die sibler Daten. Eine Bestellung kann nati- Regelung, so hat dies für Betroffene Auftragsverarbeiter. Nicht verpflich- onal darüberhinausgehend verpflichtend keine nachteiligen Rechtsfolgen, da die- tet werden Stellen mit weniger als 250 gemacht werden, so dass der bestehende se sich an jeden der Verantwortlichen Beschäftigten, es sei denn, es bestehen deutsche Regelungsrahmen beibehalten

DANA • Datenschutz Nachrichten 2/2016 52 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

werden kann. Die rechtliche Ausgestal- men. Sind die Voraussetzungen nicht Verwaltungsentscheidungen nach eu- tung des Datenschutzbeauftragten sowie (mehr) erfüllt, können sowohl Zertifizie- ropäischem Recht nur dann umgesetzt dessen Aufgaben orientieren sich stark rungen als auch Akkreditierungen wie- werden dürfen, wenn diese auf interna- an den bisher geltenden deutschen Be- der entzogen werden. Die Kommission tionalen Abkommen basieren. Diese Re- stimmungen. kann über Durchführungsakte techni- gelung steht konzeptionell und inhaltlich sche Standards sowie Verfahrensvorga- im Konflikt mit dem Ende Februar 2016 11 Regulierte Selbstregulierung ben festlegen. vorgestellten EU-US Privacy Shield zur Datenübermittlung von Europa in die Das Instrument der Verhaltensregeln 12 Auslandsdatentransfer USA, das zu exekutiven und judikativen im privaten Bereich hat bisher nicht nur Entscheidungen führen wird, die nicht in Deutschland (§ 38a BDSG) wenig Hinsichtlich des grenzüberschreiten- auf internationalen Abkommen beruhen. Resonanz gefunden. Das soll sich künf- den Datentransfers ergeben sich gegen- Im Einzelfall können weiterhin Über- tig dadurch ändern, dass deren Funkti- über der Richtlinie keine grundsätzli- mittlungen ohne allgemeine Garantien on und die Anreize hierfür erhöht wer- chen Veränderungen. Wohl aber wurden erfolgen, etwa bei ausdrücklicher Ein- den (Art. 40, 41). So können hierüber viele Konkretisierungen vorgenommen, willigung, zur Vertragserfüllung, bei für Kleinst- bzw. kleinere und mittlere die insbesondere auch die Rechtspre- einem Betroffeneninteresse oder einem Unternehmen Standardisierungen und chung des EuGH aufgreifen. wichtigen öffentlichen Interesse, zur damit Vereinfachungen vorgenommen Innerhalb der EU gibt es keine spezi- Durchsetzung von Rechtsansprüchen, werden. Über Verhaltensregeln kön- fischen Übermittlungsbeschränkungen zum Schutz lebenswichtiger Interessen nen „geeignete Garantien“ festgelegt (Art. 1 Abs. 3). Gleiches gilt, wenn von oder in Rahmen einer Einzelentschei- werden, die bei Datenübermittlungen der Kommission die Angemessenheit dung, die aber geeignete Garantien vor- in Drittländer innerhalb einer Branche des Datenschutzstandards im Empfän- sehen muss. verpflichtend sind. Die Regeln können gerland festgestellt wurde. Für die An- und müssen eine „obligatorische Über- gemessenheitsprüfung enthält Art. 41 13 Aufsichtsbehörden, wachung“ durch installierte Verbands- Abs. 2 einen umfangreichen Kriterienka- Kooperation und Kohärenz mechanismen z. B. in einer Branche talog, der an die Kriterien des Safe-Har- vorsehen. Die Verhaltensregeln unter- bor-Urteils des EuGHs anknüpft. Darin Dass es bisher massive Vollzugs- und liegen, wie bisher, der Genehmigungs- werden folgende Bedingungen genannt: Durchsetzungsdefizite im Datenschutz pflicht durch die nach Art. 51 zuständige Grundrechtsgeltung, auch im Bereich der gibt, liegt u. a. daran, dass es keine ver- Aufsichtsbehörde und können von der öffentlichen Sicherheit, der Verteidigung bindlichen Konfliktlösungsinstrumente EU-Kommission für verbindlich erklärt und der nationalen Sicherheit, geltende zwischen den unabhängigen Daten- werden. Die Überwachung der Verhal- Datenschutz-Rechtsvorschriften und un- schutzbehörden gab. So konnten z. B. tensregeln kann zu diesem Zweck ak- abhängige Datenschutzkontrolle. Eine Unternehmen in einem Land von der kreditierten Stellen übertragen werden Überprüfung ist alle 4 Jahre nötig. dortigen unzureichenden Datenschutz- (Art. 40). Durch die verbandsinterne Liegt kein genereller Angemessen- kontrolle profitieren. Dies wird durch Streitbeilegung können Verbände den heitsbeschluss der Kommission vor, Abstimmungszwänge in Zukunft er- Datenschutz also selbst in die Hand so können an die Stelle staatlicher schwert. Hinsichtlich der Einrichtung, nehmen und dadurch zugleich die Auf- Datenschutzsicherungen im Empfän- der Rechtsstellung und den Aufgaben sichtsbehörden entlasten. gerland „geeignete Garantien“ treten, der Datenschutzbehörden selbst wur- Völlig neu ist auf europäischer Ebene die bindend und durchsetzbar sein de wenig geändert. Es erfolgen v. a. die Zertifizierung gemäß den Art. 42, 43. müssen. Als Beispiele werden nun Konkretisierungen zur Unabhängigkeit Zertifizierungsverfahren, die freiwillig ausdrücklich Standardvertragsklau- (Art. 52), zur demokratischen Legiti- sind und transparent sein müssen, kön- seln und unternehmensinterne Da- mation und fachlichen Qualifikation nen von privaten Zertifizierungsstellen tenschutzvorschriften (sog. Binding (Art. 43), zur Verschwiegenheit (Art. 54 oder Aufsichtsbehörden durchgeführt Corporate Rules – BCRs) genannt, Abs. 2), zur Zuständigkeit (Art. 55), werden. Unter anderem ist ein „Europä- aber auch genehmigte Verhaltensre- zu den sehr umfassenden Aufgaben isches Datenschutzsiegel“ vorgesehen, geln oder Zertifizierungen (Art. 46). (Art. 57) und zu den ebenso äußerst um- für das der Europäische Datenschutz- Für die Regelungen in BCRs werden in fassenden Befugnissen (Art. 58). Jeder ausschuss (EDA) Prüfkriterien festlegt. Art. 47 präzise Anforderungen festge- Mitgliedstaat wird verpflichtet, die Auf- Private Zertifizierungsstellen bedürfen legt, zu denen die Umsetzung der Be- sichtsbehörde bzw. -behörden mit den einer Akkreditierung durch die Auf- troffenenrechte, die Haftungsübernah- benötigten „personellen, technischen sichtsbehörde oder durch eine nationale me im Fall von Verstößen, Beschwerde- und finanziellen Ressourcen“ auszustat- Akkreditierungsstelle, wobei die Vor- und Konfliktlösungsverfahren und die ten (Art. 52 Abs. 4), was angesichts der aussetzungen präzise in der Verordnung Kooperation mit der Aufsichtsbehörde gewachsenen Aufgaben bei den Behör- festgelegt sind. Zwecks Übersichtlich- gehören. In einem neuen Artikel 48, der den zu einer massiven Besserausstat- keit werden alle anerkannten Zertifizie- implizit auf US-Regelungen wie den tung führen muss. rungsverfahren und Datenschutzsiegel Patriot Act Bezug nimmt, wird klarge- Neu ist die Etablierung einer auf ein in ein einheitliches Register aufgenom- stellt, dass Drittlands-Gerichts- oder Unternehmen bezogenen federführen-

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 53 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

den Aufsichtsbehörde, welche die we- genheiten mit allgemeiner Geltung oder keiten im Datenschutzrecht sehr be- sentliche Datenschutzkommunikation Auswirkungen eine solche Stellung- grenzt. Im Safe-Harbor-Urteil hatte der mit einer verantwortlichen Stelle führt. nahme bewirken. Die Beschlussfassung EuGH schon Nachbesserungen einge- Federführend ist die für die Hauptnie- erfolgt regelmäßig innerhalb von 8 Wo- fordert. In diesem Bereich erfolgen in derlassung in Europa zuständige Behör- chen mit einer einfachen Mehrheit der der EU-DSGVO nun sehr weitgehende de. Diese ist nur dann nicht zwingend EDA-Mitglieder. Soweit erforderlich Verbesserungen: zuständig, wenn der konkrete Vorgang und zweckdienlich, werden Informati- So haben Betroffene nicht nur ge- ausschließlich den Zuständigkeitsbe- onen übersetzt. Teilt eine Aufsichtsbe- genüber der Aufsichtsbehörde ein Be- reich einer anderen Aufsichtsbehörde hörde unter Angabe der maßgeblichen schwerderecht (Art. 77). Sie erhalten betrifft. Aber auch in diesem Fall kann Gründe dem EDA mit, dass sie der zudem eine gerichtliche Rechtsbehelfs- die federführende Behörde den Vorgang EDA-Stellungnahme nicht folgt, so fin- möglichkeit gegen eine sie betreffende innerhalb einer Frist von drei Wochen an det in einem weiteren Schritt eine Streit- rechtsverbindliche Entscheidung sowie sich ziehen (Art. 56). beilegung durch den EDA statt (Art. 65). auch, wenn eine Beschwerde nicht in- Handelt es sich um einen Vorgang, Diese erfolgt in Form eines innerhalb nerhalb von drei Monaten behandelt der mehrere Aufsichtsbehörden betrifft von einem Monat gefällten Beschlusses, wurde; die abschließende Entscheidung oder zieht die federführende Behörde für den eine 2/3-Mehrheit im EDA nötig darf längere Zeit in Anspruch nehmen den Fall an sich, so kommen die Re- ist. Die EDA-Beschlüsse werden auf der (Art. 78). Ein Informationsanspruch be- gelungen zur Zusammenarbeit zur An- EDA-Webseite allgemein veröffentlicht. steht nicht nur zu den Verfahrensergeb- wendung (Art. 60). Dazu gehören die Abweichend vom Kohärenzverfahren nissen, sondern auch zum Bearbeitungs- Amtshilfe für einzelne Fragestellungen kann eine betroffene Aufsichtsbehörde stand. Mit dem neuen Instrument kann oder Sachverhaltsermittlungen, wozu ein Dringlichkeitsverfahren durchfüh- ein Betroffener eine materiell-rechtlich der angefragten Behörde regelmä- ren, durch das einstweilige Maßnahmen korrekte Entscheidung gegenüber der ßig nur ein Monat zur Verfügung steht mit einer Geltungsdauer von höchstens Aufsichtsbehörde einklagen, was bisher (Art. 61), ein umfassender zweckdienli- 3 Monaten festgelegt werden (Art. 66). nicht anerkannt, geschweige denn ef- cher Informationsaustausch und die Vor- Der Europäische Datenschutzaus- fektiv realisiert war. Eine Rechtsschutz- lage eines Beschlussvorschlags durch schuss besteht aus den Leitern der Auf- möglichkeit besteht für den Betroffenen die federführende Behörde. Hiergegen sichtsbehörden, je einer pro Land. In weiterhin – wie bisher – gegenüber der kann eine andere betroffene Behörde Deutschland muss aus den föderalen verantwortlichen Stelle oder dem Auf- innerhalb von vier Wochen Einspruch Aufsichtsbehörden nach nationalen Re- tragsverarbeiter, wobei verbraucher- einlegen. Wird dem nicht abgeholfen, geln ein Behördenleiter benannt wer- freundlich gegen private Verantwortli- erfolgt das Kohärenzverfahren. Wurde den (Art. 68). Hauptaufgabe des EDA, che die Klage im Mitgliedstaat des Be- kein Einspruch eingelegt, so sind alle dem eine eigene Rechtspersönlichkeit troffenen eingelegt werden kann. betroffenen Behörden an den Beschluss zukommt, ist die Abgabe von Stellung- Neu ist eine Art Verbandsklage, bei gebunden, der dann gegenüber der nahmen und die Beschlussfassung im der eine Einrichtung, Organisation oder (Haupt-)Niederlassung ergeht und dem Kohärenzverfahren. Daneben nennt Vereinigung die Rechte des einzelnen Beschwerdeführer mitgeteilt wird. Eine Art. 70 viele weitere Aufgaben, u. a. oder von vielen Betroffenen gericht- einheitliche Beschwerde kann in Teil- die Beratung der Kommission, die Be- lich geltend machen kann. Darüber hi- beschlüsse aufgeteilt werden. Für die reitstellung von Leitlinien, Empfehlun- naus besteht für die Mitgliedstaaten das Zusammenarbeit wird ein gemeinsames gen und Verfahren, die Förderung von Recht, unabhängig von Aufträgen von elektronisches Kommunikationsverfah- Verhaltensregeln und Zertifizierungs- Betroffenen, Verbandsklagen zuzulas- ren genutzt (Art. 67). verfahren, die Akkreditierung von Zer- sen (Art. 80). Entsprechendes erfolgte Eine besondere Form der Zusammen- tifizierungsstellen, Stellungnahmen zum erst kürzlich in beschränktem Umfang arbeit besteht in gemeinsamen Maßnah- „angemessenen Schutzniveau“, die För- in Deutschland. men (Art. 62). Diese erfolgen, wenn Be- derung der Zusammenarbeit zwischen Um in Europa divergierende Ent- schlüsse erhebliche Auswirkungen auf den Aufsichtsbehörden, einschließlich scheidungen bei parallelen Verfahren die Zuständigkeitsbereiche von meh- Information und Schulung des Personals zu vermeiden, kann ein zuständiges reren Behörden haben werden. Hierzu sowie die Öffentlichkeitsarbeit. Geleitet Gericht sein Verfahren aussetzen, wenn lädt eine Aufsichtsbehörde ein; jede be- wird der EDA von einem Vorsitzenden derselbe Gegenstand vor einem anderen troffene Behörde kann sich anschließen. und zwei Stellvertretern, die mit ein- Gericht innerhalb des Geltungsbereichs Die teilnehmenden Behördenmitarbeiter facher Mehrheit gewählt werden. Das der Verordnung anhängig ist. Es erfolgt erhalten dann Kompetenzen gemäß dem EDA-Sekretariat wird beim Europäi- dann eine Abstimmung zwischen den jeweils geltenden nationalen Recht. schen Datenschutzbeauftragten einge- Gerichten oder eine Zusammenführung Im Kohärenzverfahren, also bei unter- richtet (Art. 75). der Verfahren (Art. 81). schiedlichen Meinungen zu einem Be- Wie schon bisher (in Deutschland nur schlussvorschlag, wird die Stellungnah- 14 Rechtsschutz und Sanktionen im privaten Bereich), haben die Auf- me des Europäischen Datenschutzaus- sichtsbehörden die Möglichkeit, War- schusses (EDA) eingeholt. Außerdem Bisher waren die national geregelten nungen und Untersagungsverfügungen kann jede Aufsichtsbehörde bei Angele- Rechtsschutz- und Sanktionsmöglich- zu erlassen (Art. 58 Abs. 2 lit. a-h, j).

DANA • Datenschutz Nachrichten 2/2016 54 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Daneben sind Sanktionen in Form neben dem Datenschutzrecht weiter- Öffnungsklauseln sich nicht nur an die von empfindlichen Geldbußen möglich, hin Anwendung finden. Dies betrifft in nationalen, sondern auch an den EU-Ge- die „in jedem Fall wirksam, verhältnis- Deutschland beispielsweise den § 203 setzgeber wenden, besteht die Aussicht, mäßig und abschreckend“ sein müssen StGB und bereichsspezifische Konkreti- dass die EU weitere – bereichsspezifi- (Art. 83 Abs. 1). Dafür benennt die Ver- sierungen etwa im Anwalts-, Arzt- oder sche – Regelungen erlässt. ordnung eine Vielzahl von Sanktions- Notarrecht (Art. 90). Das in Deutsch- Vorläufig ist es sehr wahrscheinlich, zumessungskriterien, die es künftig er- land geltende Kirchenprivileg zur Nor- dass auslegungsbedürftige Regelungen möglichen, über Vergleiche europaweit mierung des Datenschutzes soll weiter- in der Verordnung national oder gar eine Angleichung bzw. Harmonisierung bestehen, soweit die Vorschriften „mit regional von Anwendern, Aufsichtsbe- zu erreichen. Abhängig vom Verstoß dieser Verordnung in Einklang gebracht hörden und Gerichten unterschiedlich können Geldbußen bis zu einer Höhe werden“ (Art. 91). ausgelegt werden. Durch die Vorlage- von 10 Mio. €, in besonderen Fällen bis Im Kommissionsentwurf war noch möglichkeit beim EuGH nach Art. 267 zu 20 Mio. € bzw. „im Fall von Unter- vorgesehen, dass die EU-Kommission AEUV sowie generell durch die Recht- nehmen von bis zu 2 % (4%) seines ge- eine Vielzahl von Befugnissen zum Er- sprechung des EuGH – etwa in Fällen samten weltweit erzielten Jahresumsat- lass delegierter Rechtsakte erhält. Diese des Art. 263 AEUV – kommt diesem zes des vorangegangenen Geschäftsjah- Möglichkeiten wurden weitgehend ein- Gericht auf lange Sicht eine wichtige, res“ verhängt werden. Ob und wenn ja, geschränkt, sind aber in einem gewissen rechtsvereinheitlichende Funktion zu. wie und in welchem Umfang Geldbußen Rahmen weiterhin vorgesehen (Art. 92). Die deutschen Gesetzgeber in Bund bei Datenschutzverstößen durch öffent- In Art. 97 ist eine regelmäßige Evalu- und Ländern – wie auch die der ande- liche Stellen verhängt werden können, ation der Verordnung vorgesehen, deren ren Mitgliedsländer – sind aufgefordert, bleibt den Mitgliedstaaten überlassen Ergebnis erstmals spätestens vier Jah- ihre bisherigen Datenschutzregelungen (Art. 83 Abs. 7). Sieht die Verordnung re nach Inkrafttreten vorgelegt werden bis zum Inkrafttreten der Verordnung für bestimmte Verstöße keine Sanktio- muss. anzupassen. Dies bedeutet, dass das nen vor, so bleibt es den Mitgliedstaaten BDSG sowie die Landesdatenschutzge- vorbehalten, auch diese zu sanktionieren 16 Ausblick setze zu Ausführungsgesetzen der EU- (Art. 84). DSGVO umgestaltet werden müssen. Die EU-DSGVO wird am 25.05.2018 Eine erste Meinungsbildung hierzu fand 15 Sonderregelungen in Kraft treten. am 24.02.2016 im Ausschuss „Digita- le Agenda“ des Deutschen Bundestags In einigen Bereichen überlässt der Der Anspruch der Verordnung, ein statt. So können unter Anknüpfung an europäische Verordnungsgeber es den EU-weit einheitliches Datenschutzni- die Verordnung nationale Besonderhei- Mitgliedstaaten, spezifische Regelungen veau festzulegen, wurde in vielen Be- ten bewahrt bleiben, wie z. B. die teil- zu erlassen und macht hierfür Vorgaben. reichen nicht erreicht. Die EU-DSGVO weise weitergehenden Regelungen zum Dies gilt für die Datenverarbeitung „zu enthält viele Öffnungsklauseln, durch betrieblichen Datenschutzbeauftragten journalistischen Zwecken und zu wis- die Mitgliedstaaten voneinander ab- in Deutschland. Dieser Pluralismus in- senschaftlichen, künstlerischen oder li- weichende Regelungen erlaubt werden. nerhalb der EU kann und sollte für einen terarischen Zwecken“ (Art. 85), für den Dieses Regelungskonzept war ange- europäischen Föderalismus befruchtend Zugang der Öffentlichkeit zu amtlichen sichts der bisher bestehenden, stark di- sein und den Wettbewerb um die bes- Dokumenten (Art. 86), die Verwendung vergierenden nationalen Regelungen ten Datenschutzinstrumente befördern. einer nationalen Kennziffer (Art. 87), unvermeidbar. Viele Mitgliedstaaten Bereichsspezifische Regelungen – vom die Datenverarbeitung im Beschäftigten- forderten, bestimmte, aus ihrer Sicht Aufenthaltsgesetz bis zu den Statistik- kontext (Art. 88) und die Verarbeitung bewährte Mechanismen beizubehalten. gesetzen – sind daraufhin zu überprüfen, „zu im öffentlichen Interesse liegenden Dies gilt insbesondere auch für die Re- ob sie weiterhin mit der EU-DSGVO Archivzwecken, zu wissenschaftlichen gierung Deutschlands, wo derzeit das vereinbar sind. und historischen Forschungszwecken europaweit wohl am stärksten ausdiffe- Die vielfältigen Öffnungsregelungen und zu statistischen Zwecken“ (Art. 89). renzierte Datenschutzrecht besteht. Das belassen den nationalen Gesetzgebern in Auf zunächst geplante Sonderrege- Resultat, eine auch zukünftige begrenz- den Mitgliedstaaten einen teilweise noch lungen zur Verarbeitung im öffentlichen te Heterogenität, war auch deshalb nicht sehr weitgehenden Regelungsspielraum. Sektor generell, was die Bundesregie- zu vermeiden, weil differenziertere Re- Diese Öffnungsregelungen beschränken rung lange gefordert hatte (Art. 80aa im gelungen den EU-Gesetzgeber zweifel- sich nicht darauf, die allgemeinen Rege- Entwurf), sowie für Gesundheitszwecke los überfordert hätten. lungen der EU-DSGVO zu präzisieren. (Art. 80b im Entwurf) wurde verzichtet, Diese Heterogenität wird aber in kei- Nationale Gesetzgeber können durch in- weil nationale Normierungsbefugnisse ner Weise zementiert. Eine vereinheit- novative Gesetzgebung auch als Vorbild schon in die materiellen Regelungen lichende Wirkung kann schon dadurch für andere Mitglieder der EU dienen (Art. 6 Abs. 3, Art. 9 Abs. 2, Art. 10) erreicht werden, dass durch diverse und dadurch den digitalen Grundrechts- aufgenommen worden sind. Europä- Meldepflichten gegenüber der Kommis- schutz voranbringen. Dies ist etwa im isch oder national geregelte (berufli- sion ein Überblick über divergierende Bereich des Beschäftigtendatenschutzes che) Geheimhaltungspflichten können Regelungen verschafft wird. Da viele möglich und wünschenswert. Innova-

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 55 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

tionsbedarf besteht aber nicht nur hier, aber weiterhin Defizite, die sich mögli- tale Grundrechtsschutz fortgeschrieben sondern in praktisch allen Bereichen der cherweise erst bei der Anwendung er- werden kann und muss. Der Ball liegt personenbezogenen Datenverarbeitung. weisen. Die technische, ökonomische also nun wieder im Feld der nationa- Der EU ist mit der EU-DSGVO zwei- und soziale Entwicklung fordert schon len Gesetzgeber, die auf der sicheren fellos ein fortschrittliches Regelwerk heute und laufend weitere Ergänzungen Rechtsgrundlage der aktuellen EU-DS- zum Datenschutz gelungen. Dieses hat und Modifikationen, mit denen der digi- GVO aufsetzen können und sollten.

Sabine Leutheusser-Schnarrenberger Entscheidung des EuGH zum sog. Recht auf Vergessenwerden

Das Urteil des Europäi­schen Gerichts- namens­basierter Google-Suche in den richtlinie hat der Gerichtshof damit be- hofs (EuGH) vom 13. Mai 2014,1 in dem Suchergebnissen enthaltenen Link zu reits das Marktortprinzip entwickelt, das das Gericht zwar nicht ausdrücklich, einem 1998 erschienenen Artikel der der europäische Gesetzgeber nunmehr aber nach Meinung vieler Kommentato- spanischen Zeitschrift La Van­guardia zu in der Ende letzten Jahres verabschiede- ren, ein „right to be forgotten“, ein sog. löschen, in dem von einer Zwangsver- ten Datenschutzgrundverordnung3, die Recht auf Vergessenwerden, eingeführt steigerung einer dem Kläger gehören- mit Gültigwerden im Jahr 2018 die eu- hat, hat in die Diskussion der Verant- den Immobilie bei Nennung des Kläger­ ropäische Datenschutzrichtlinie ablösen wortlichkeit für im Internet verbreitete namens berichtet wurde. Die spanische wird, verankert hat. und zugänglich gemachte Inhalte eine Datenschutzbehörde AEPD hatte dem Art. 17 der DS-GVO4 setzt diese Ent- neue Dimension gebracht. Antrag des Klägers stattgege­ben und scheidung des EuGH um und begründet Der EuGH hat der millionenfachen Google-Spain an­gewie­sen, die erforder- ein Recht auf Löschung der sie betref- Verbreitung privater Informationen, lichen Maßnahmen zu ergreifen, um die fenden personenbezogenen Daten ge- auch wenn sie zutreffend sind, mit Hilfe den Kläger betreffenden personenbezo- genüber dem Verantwortlichen in un- des Datenschutzes und des Rechts auf genen Daten aus der Suchergeb­nisliste terschiedlichen Fallkonstellationen, zu Schutz der Privatsphäre einen begrenzt zu entfernen und den Zugang zu diesen denen u.a. gehört, wenn der ursprüng- wirkenden Riegel vorgeschoben. Er Daten in Zukunft zu verhindern.­ Gegen liche Zweck nicht mehr besteht (Art. 17 verteilt die Verantwortung auf Betei- diese Anweisung legte Google-Spain Abs. 1 a), die Einwilligung widerrufen ligte an der digitalen Kommunikation beim zu­ständigen spanischen Gericht, worden ist oder wenn eine Rechtsgrund- und hat deshalb den Suchmaschinen- des Audi­encia Nacional, Beschwerde­ lage für die Verarbeitung fehlt (Art. 17 betreibern, die eine Schlüsselstellung ein, das seinerseits das Verfahren aus­ Abs. 1 b), oder wenn bei Widerspruch beim schnellen und leichten weltweiten setzte und den Sachverhalt zur Vor­ gegen die Verarbeitung keine vorrangi- Zugriff auf die gesuchten Informatio- abentscheidung dem Europäi­schen Ge- gen berechtigten Gründe für die Verar- nen einnehmen, die Verpflichtung zur richtshof vorlegte. beitung vorliegen (Art. 17 Abs. 1 c). Löschung von Links unter bestimmten Die von dem spanischen Gericht dem Damit entfällt die frühere juristische Voraussetzungen auferlegt. Der EuGH EuGH zur Vorabentscheidung­ vorgeleg- Argumentation, mangels Sitz in der EU hat mit dieser Entscheidung Neuland ten Fragen betreffen die Auslegung und gelte das „strenge“ europäische Da- betreten und sich institutionell neu po- die Anwen­dung der in der Europäischen tenschutzrecht nicht. Und es wird der sitioniert. Datenschutzrichtlinie 95/46/EG2 ent­ beliebten Praxis der internationalen haltenen Bestimmungen auf Internet- IT-Konzerne ein Riegel vorgeschoben, Sachverhalt Suchmaschinen. mit der Sitzwahl eines Konzerns in Aus der Begründung der Entschei- der EU sich das auf niedrigstem Ni- Ausgangspunkt des beim Europäi- dung ist ziemlich deutlich zu entneh- veau bewegende Datenschutzrecht ei- schen Gerichtshof durchgeführ­ten Ver- men, dass der Europäische Gerichtshof nes EU-Mitgliedstaates auszusuchen. fahrens war ein an die spanische Da- international agierende Konzerne für Es wird künftig datenschutzrechtlich tenschutzbehörde AEPD (Agencia Es- ihre Tätigkeit innerhalb der Europäi- nichts mehr bringen, sich in Dublin panola de Proteccion de Datos) gerich- schen Union zur Einhaltung europäi- anzusiedeln, wie das derzeit Facebook, teter Antrag eines spanischen Klägers, schen Rechts verpflichten will. In Aus- Google und viele andere internationale Google-Spain zu verpflichten, einen bei legung der europäischen Datenschutz- Konzerne tun.

DANA • Datenschutz Nachrichten 2/2016 56 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Löschungspflichten Kritik an dieser Entscheidung des Damit muss eine Abwägung zwischen EuGH wird aus dem Vorwurf der unzu- dem berechtigten Schutz des Daten- Die Löschungspflichten des Suchma­ reichenden Abwägung mit dem Recht schutzsubjekts an einer zweckgebunde- schinenbetreibers betreffen jede von der Meinungs- und Äußerungsfreiheit- nen Verwendung seiner Daten und dem der Verarbeitung ihrer Daten betroffene freiheit hergeleitet.7 Interesse der Öffentlichkeit an Informa- Person, die von dem für die Verarbei- Der EuGH habe in seiner Entschei- tion stattfinden. tung Verantwortlichen „je nach Fall eine dung der Bedeutung dieses für die De- Festzuhalten ist, dass nicht die mit Berichtigung, Lö­schung oder Sperrung“ mokratie konstitutiven Grundrechts zu teilweise marktbeherrschender Stellung der Daten verlangen kann, wenn die Ver­ wenig Bedeutung beigemessen. Wenn agierenden IT-Konzerne die uneinge- ar­beitung nicht den Bestimmungen der nur noch von der Perspektive des Rechts schränkte Definitionshoheit darüber Richtlinie entspricht, insbe­son­dere wenn auf informationelle Selbstbestimmung haben, was von ihnen an vorgegebenen sie unvollständig oder unrichtig ist.5 her gedacht werde, würde das an die Informationen verarbeitet und verbreitet Die Verarbeitung der Daten entspricht Tradition der Aufklärung anknüpfende wird, sondern dass sie an die europäisch nicht nur dann nicht der Richtlinie, wenn individuelle Recht auf freie Meinungs- geltenden Grundrechte gebunden sind. diese sachlich unrichtig sind, sondern u. äußerung, das nicht unter einem wie 2. Der Antragsteller darf nicht dar- a. auch dann, wenn sie den Zwecken der auch immer gearteten Vorbehalt des auf verwiesen werden, zuerst gegen die Verarbei­tung nicht entsprechen, dafür öffentlichen Interesses stehe, im Kern Journalisten und deren Verlag wegen nicht erheblich sind, darüber hinausge­ geschwächt. Verletzung des Persönlichkeitsrechts hen, nicht auf dem neuesten Stand sind Diese Kritik, die nicht leichtfertig und des Datenschutzrechtes durch die oder länger als erforderlich aufbewahrt­ abgetan werden darf, verkennt jedoch, Publikation vorzugehen. Die Ansprüche werden, es sei denn, ihre Aufbewahrung dass der EuGH sich in dieser Entschei- auf Delisting gegen die Suchmaschinen- ist für histori­sche, statistische oder wis- dung nicht mit der Löschung der pres- betreiber und auf mögliche inhaltliche senschaftliche Zwecke erforderlich. serechtlichen Veröffentlichung befasst, Korrektur gegen die Contentverant- Die Pflicht zur Löschung entfällt je- sondern mit dem Zugang zu Presse- wortlichen bestehen nebeneinander und doch dann, wenn sich aus besonderen artikeln und anderen online Publika- haben auch unterschiedliche Vorausset- Gründen – wie die Rolle der betroffenen tionen mittels einer namensbasierten zungen. Sie sind nicht inhaltlich vonei- Person im öffentlichen Le­ben – ergibt, Recherche durch eine Suchmaschine. nander abhängig, denn auch rechtmäßi- dass der Eingriff in die Grundrechte der Der Artikel selbst bleibt bestehen und ge frühere Berichterstattung kann nach Person durch ein überwiegendes öffent- wird nur etwas schwieriger auffind- der Entscheidung des EuGH zu einem liches Interesse daran, über die Einbezie­ bar. Deshalb handelt es sich eher um berechtigten Löschantrag führen. hung in die Suchmaschinen-Ergebnisliste ein Recht des Betroffenen, sich besser An dieser Stelle nimmt der europäi- Zugang zu den enthalte­nen Informatio- dem öffentlichen Zugriff entziehen zu sche Gesetzgeber eine Einschränkung nen zu haben, gerechtfertigt ist.6 können. vor. Nach Art. 17 Abs. 1 d DS-GVO Es sollen also gerade nicht Prominen- besteht nur bei unrechtmäßiger Ver- te und öffentliche Personen der Zeitge- Zwei Grundsätze für den arbeitung der personenbezogenen Da- schichte in die Lage versetzt werden, Löschungsanspruch ten ein Löschungsanspruch. Damit soll ihre Lebensläufe und ihr Wirken kor- wohl Problemen begegnet werden, die rigieren zu können. Was unliebsam ist Die Entscheidung enthält keinen aus- in einem Auseinanderfallen der Recht- und nicht mehr in die politische oder führlichen Kriterienkatalog für die Lö- sprechung zum Äußerungsrecht in wirtschaftliche Agenda passt, soll nicht schung, was angesichts des einfachen Abwägung mit dem Persönlichkeits- durch Löschen der Links dem einfachen zugrunde liegenden Sachverhalts auch rechtsschutz und dem Datenschutz- Zugriff entzogen werden. nicht geboten war. recht liegen können. Keine ausdrück- Dieser Ansatz greift die zur Mei- Zwei Grundsätze sind hervorzuheben: liche Regelung ist damit zu der Frage nungs- und Äußerungsfreiheit ent- 1. Wirtschaftliche Interessen der Such­ getroffen worden, in der nach einer wickelten Grundsätze der Rechtspre- maschinen­betreiber haben bei diesen rechtmäßigen Erfassung und Verarbei- chung auf. Die im Spannungsfeld Lösch­anträgen generell keinen Vorrang. tung der Daten sich durch Zeitablauf stehenden Grundrechte der informati- Die digitale Kommunikation ver- ein anderer Sachverhalt ergeben hat onellen Selbstbestimmung, des Schut- schiebt zwar die Abgrenzung zwischen und die ursprüngliche rechtmäßige Er- zes der Privatsphäre und der eigenen privat und öffentlich, aber der Schutz fassung aktuell mit der tatsächlichen Persönlichkeit auf der einen Seite und der eigenen Daten und der Privatsphä- Situation nicht in Einklang zu brin- der Meinungs- und Pressefreiheit auf re werden und dürfen nicht aufgege- gen ist. Genau darum ging es ja in der der anderen Seite sind durch höchst- ben werden. Ihm wird vom EuGH ein Entscheidung des EuGH. Ein im Jahr richterliche Rechtsprechung sorgfältig grundsätzlicher Vorrang vor den wirt- 1998 insolventer Unternehmer wurde austariert worden. Das berechtigte In- schaftlichen Interessen der Suchmaschi- Jahre später wieder solvent und sollte teresse der Öffentlichkeit an Informati- nenbetreiber eingeräumt, es sei denn, es in Zukunft davor geschützt werden, onen schränkt danach unter bestimmten liegt ein überwiegendes öffentliches In- bei einer Recherche mit seinem Na- Voraussetzungen den Persönlichkeits- teresse an dem Zugang zu diesen Daten men immer wieder mit Insolvenz in rechtsschutz ein. durch namensbasierte Recherche vor. Verbindung gebracht zu werden. Bei

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 57 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

noch sensibleren Daten wie zum Bei- Verfahren troffene der personenbezogenen Da- spiel der sexuellen Orientierung und tenerfassung und -verarbeitung einen der Veränderung des Geschlechts ist Der Suchmaschinenbetreiber, in die- Löschungsanspruch gegen den Vermitt- das Persönlichkeitsrecht des Betroffe- sem Fall Google, entscheidet allein über ler hat, sondern alle Beteiligten in die nen noch stärker berührt. Ob in diesen den Löschungsantrag. An dieser Rolle Pflicht genommen werden. Fällen ein Anspruch gegen den Con- von Google entzünden sich viele Diskus- tentverantwortlichen auf Streichung sionen. Die Bedenken richten sich gegen Reichweite der Löschungs­ der personenbezogenen Angaben we- die starke Stellung, die Google damit entscheidung gen Verletzung des Persönlichkeits- erlangen würde. Außerdem könne der rechtes besteht und auch durchgesetzt Gegner des Löschungsanspruchs nicht Zur Reichweite des Löschungsbegeh- werden kann, kommt auf die Situation auch Entscheider sein. Diese Argumen- rens gibt es auch in der DS-GVO keine Re- im Einzelfall an. Gerade diesen Pro- tation lässt unberücksichtigt, dass es in gelung. Dies ist derzeit ein weiterer Streit- blemen wollte der EuGH mit seiner einem zivilrechtlichen Verfahren dem punkt und wurde auch im Google Beirat Argumentation, dass unabhängig von Anspruchsgegner nicht verwehrt werden unterschiedlich gesehen. Die EuGH- der Rechtmäßigkeit der Ersterfassung kann, dem Begehren stattzugeben oder es Entscheidung befasst sich mangels Be- ein Löschungsanspruch bestehen soll, abzulehnen. Man kann auch nicht Goog- gehr nicht damit, ob nur europäische wenn die Angaben „inadäquat, ir­ le datenschutzrechtlich in die Pflicht Domains oder weltweit alle Domains relevant, no longer relevant or exces- nehmen und sich dann darüber beklagen, gelöscht werden müssen. Es ging in der sive“ sind,8 begegnen und begründete wenn das Unternehmen dieser Verpflich- Entscheidung nur um die Löschung der auch damit die Verantwortlichkeit der tung nachkommt. Der Entscheidung spanischen Domain. Aber was bringt Suchmaschinenbetreiber. Es bleibt ab- muss aber eine fundierte Abwägung über ein erfolgreicher Löschantrag in Spa- zuwarten, wie sich nach Inkrafttreten die im Spannungsverhältnis stehenden nien, wenn der betroffene Artikel von der DS-GVO die Entscheidungspraxis Grundrechte zu Grunde liegen. Deutschland, Frankreich oder anderen der Suchmaschinenbetreiber und da- In diesem Kontext spielen Verfahrens- europäischen Mitgliedstaaten aus unter mit besonders von Google entwickeln regeln eine Rolle, die dem Inhaltsver- Benutzung des Namens gefunden wer- wird. antwortlichen Gelegenheit zur Stellung- den kann? Nach Auffassung des Google Art. 17 DS-GVO enthält auch kei- nahme vor der Entscheidung geben und Beirates müssen in jedem Fall alle euro- nen abschließenden oder beispielhaft ihm eine Beteiligtenstellung einräumen päischen Domains entfernt werden. aufgeführten Kriterienkatalog für den würden. Das war dennoch bisher nicht die Pra- Löschungsanspruch, so dass es auf die Das war die Haltung des Google Bei- xis von Google. Auf Grund eines Ver- Gesamtbewertung des Sachverhalts an- rats zum sog. Recht auf Vergessenwer- fahrens in Frankreich hat Google seine kommt, aber auch die Entscheidung des den, der im Juni 2014 von Google ein- Praxis ändern müssen. EuGH berücksichtigt werden muss. gerichtet wurde und mit einem Bericht Google wird unter anderem die IP Danach steht am Beginn der Ent- Empfehlungen zur Umsetzung des Ur- nutzen, um das „Aufrufs“-Land zu be- scheidungsfindung die Frage, ob es teils des EuGH erarbeitet hat.9 stimmen. Nach Mitteilung von Google sich bei der betroffenen Person um In Art. 19 der europäischen Daten- funktioniert das dann wie folgt: Stellt eine Person des öffentlichen Lebens schutz-Grundverordnung10 sind nun jemand einen erfolgreichen Antrag aus handelt, also um eine absolute oder re- Mitteilungspflichten der Verantwort- einem Mitgliedstaat der EU und wird lative Person der Zeitgeschichte oder lichen der Datenverarbeitung an alle dieser genehmigt, werden Suchergeb- um eine Privatperson. Das ist die erste Empfänger, denen personenbezogene nisse diesen Inhalt in diesem Land nicht Weichenstellung, denn bei Bejahung Daten offengelegt wurden, im Fall der mehr anzeigen, egal ob von der Google- dieses Kriteriums wird die Abwägung Löschung oder Beschränkung vorge- Landesdomain aus gesucht wird oder in Richtung Ablehnung eines Lösch- sehen, es sei denn, der Aufwand wäre über die Domain eines anderen Landes. begehrens gestellt. Bei der Abwägung unverhältnismäßig oder die Mitteilung Außerhalb des Landes ist der Inhalt wie- spielt auch eine Rolle ob der Antrag- erweist sich als unmöglich. Und weiter- derum über alle Google-Domains auf- steller die Information selbst preis ge- gehend wird auch den Verantwortlichen, findbar. Wie Google mit VPN-Diensten geben hat und damit sein Einverständ- die diese personenbezogenen Daten erst umgeht, ist damit nicht ganz klar, da nis erklärt haben kann und die Seriosi- öffentlich gemacht haben, also auch die Landeskennung nicht anhand der IP tät der Quelle. den Contentverantwortlichen im Sinne möglich ist, aber vielleicht ist die IP nur Welche Rolle künftig der Zeitfaktor des Äußerungsrechts, die Verpflichtung als Beispiel für die Erfassung des Stand- beim Löschungsanspruch spielen wird, auferlegt, dies den Datenverarbeitern, ortes genannt. ist angesichts der Anforderung der also auch den Suchmaschinenbetrei- Die Suche außerhalb der Länder Unrechtmäßigkeit der Datenerfassung bern, mitzuteilen und sie zur Löschung bringt weiterhin alle Suchergebnisse neu zu bewerten. Die einfache Formel, der Links zu den Artikeln aufzufordern. hervor. Die Suche mittels Google.com dass je weiter eine Berichterstattung Das soll dem sog. Recht auf Vergessen zeigt weiterhin alle Suchergebnisse an. zeitlich zurückliegt, das Löschbegeh- im Netz größere Geltung verschaffen Angeblich würden nur 5% aller Such- ren umso berechtigter ist, wird nicht (Art. 19 Abs. 2 DS-GVO). Das bedeu- anfragen aus Europa über Google.com mehr greifen. tet letztendlich, dass nicht nur der Be- durchgeführt.

DANA • Datenschutz Nachrichten 2/2016 58 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Genau daran entzündete sich auch die Artikeln mit der Namensnennung des 1 Urteil des Gerichtshofs vom 13. Mai kontroverse Debatte im Google Beirat. Antragstellers eingegangen, die euro- 2014, Rechtssache C-131/12 Nach meiner Auffassung und der paweit über 1.401.670 URLs betreffen, 2 Richtlinie 95/46/EG des Europäischen der Datenschutzexperten in Deutsch- davon in Deutschland mit ca 68.600 Parlaments und des Rates zum Schutz land und in der Art. 29 Data Protection (249.000 URLs) die zweitmeisten nach natürlicher Personen bei der Verarbei- Working Party11 kann bei einem globa- Frankreich (ca 85.000, 280.608 URLs). tung personenbezogener Daten und zum Schutz des freien Datenverkehrs vom 24. len Internet ein wirkungsvoller Schutz Durchschnittlich werden europaweit ca Oktober 1995 auch nur mit globalem, also weltweiten 43% der Anträge (508.300 URLs) ge- Delisting der Links, also z.B. auch in löscht und 57% der Anträge (684.300 3 Rat der EU, Brüssel 6. April 2016, 5419/16, Verordnung zum Schutz den USA erreicht werden. Das lehnte URLs). natürlicher Personen..., Datenschutz- Google ab. Jetzt hat vor kurzem Goog- Das hört sich viel an, ist mit Blick auf Grundverordnung le seine Praxis noch einmal geändert. 500 Mio. Bürgerinnen und Bürger der 4 a.a.O. unter 3, Seite 140 Mittels Geoblocking12 will Google EU aber doch nicht so umfangreich wie verhindern, dass europäische Nutzer in den ersten Wochen nach der Entschei- 5 GH, a.a.O. FN 38, Ziffer 70 über Google.com Suchergebnisse er- dung befürchtet worden war. 6 GH. a.a.O., Ziffer 97 halten, die aus Datenschutzgründen auf Da über die Löschanträge bei ande- 7 Prof. Dr. Kai von Lewinski, Staat als den nationalen Seiten des Konzerns in ren Suchmaschinenbetreibern (z.B. Mi- Zensurhelfer – Staatliche Flankierung Europa ausgeblendet werden. Damit crosoft) keine Statistik vorliegt, ist die der Löschpflichten Privater nach dem versucht Google, eine Lücke bei der Summe aller Anträge nicht bekannt. Google-Urteil des EuGH, AfP 2015, 1ff Handhabung des Urteils des EuGH zu 8 EuGH a.a.O., Ziffer 94 schließen. Fazit 9 Report des Google Advisory Council, www.google.com Praxis von Google Die bedeutende Entscheidung des EuGH zur Verantwortlichkeit der Zu- 10 a.a.O., Seite 143 Nachdem Google zunächst die Ent- gangsvermittler stärkt das Datenschutz- 11 88. Konferenz der Datenschutzbeauf- scheidung stark kritisiert hatte, hat sich recht des Nutzers. Dies bezwecken auch tragten des Bundes und der Länder am 8. und 9. Oktober 2014 in Hamburg, Article das Unternehmen jetzt den Gegebenhei- die Regelungen in der europäischen 29 Data Protection Working Party 14/EN ten gestellt und seine Infrastruktur in den Datenschutzgrundverordnung zum sog. WP 225 vom 26. November 2014 Mitgliedstaaten entsprechend angepasst. Recht auf Vergessen. Welche Auswir- 12 http://www.heise.de/newsticker/meldung/ Es sind insgesamt in der EU seit dem kungen sie haben werden und wie sich Google-setzt-Recht-auf-Vergessen- 14. Mai 2014 ca 400.000 (398.244) die rechtliche und technische Praxis ent- in-der-EU-schaerfer-durch-3098801. Anträge auf Löschung eines Links zu wickeln wird, bleibt abzuwarten. html?view=print

Dr. Robert Selk EU-DS-GVO: Neue Anforderungen an die Einwilligung?

Am 05.05.2016 wurde die EU-DS- aus deutscher Sicht ändert oder gleich Einleitend: Zur Bedeutung der GVO nunmehr im EU-Amtsblatt veröf- bleibt. Dies betrifft z.B. die formalen An- Einwilligung in der EU-DS-GVO fentlicht und tritt damit 20 Tage später forderungen oder die Thematik der Frei- in Kraft. Wirkung entfaltet sie aller- willigkeit. Daneben ist eine sehr wichti- Bevor ein Blick auf die Änderungen dings erst 24 Monate später, also zum ge Frage, was mit „Alt-Einwilligungen“ zu werfen ist, bleibt festzuhalten, dass 25.05.2018. Damit liegt die finale Fas- nach dem BDSG passiert: Bleiben diese das bisherige datenschutzrechtliche Ver- sung der EU-DS-GVO vor, die Einwilli- auch nach dem 25.05.2018 wirksam? botsprinzip auch in der EU-DS-GVO gung als eine Möglichkeit, eine Daten- Oder müssen sie neu eingeholt werden? bestehen bleibt: Danach ist jede Verar- verarbeitung zu legitimieren, spielt wei- Der Beitrag gibt einen Überblick über beitung von personenbezogenen Daten terhin eine wichtige Rolle. Rund um die die Änderungen und wirft einen Blick verboten, soweit nicht entweder über Einwilligung stellen sich eine Reihe von auf die Frage eines etwaigen Bestands- eine gesetzliche Datenverarbeitungser- Fragen, insbesondere dazu, was sich schutzes. laubnis gestattet oder – wenn es keine

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 59 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

gesetzliche Erlaubnis gibt – über eine auffälligen Punkten oder Themen. Im fol- lich eine (ausreichende) Einwilligung vom Betroffenen erteilte Einwilligung genden ein Überblick zu den wichtigsten erteilt hat, bei der verantwortlichen Stel- legitimiert ist, die die gewünschte Da- Punkten, was sich (nicht) ändert: le liegt, also dem Unternehmen, das um tenverarbeitung umfasst. Liegt weder die Einwilligung bittet. Aus deutscher eine gesetzliche Erlaubnis noch eine Keine Schriftform mehr! Sicht ist dies nichts Neues, nunmehr Einwilligung vor, ist die gewünschte aber gesetzlich geregelt (Art. 7 Abs. 1 Datenverarbeitung unzulässig. Eine Neuerung, die von erheblicher EU-DS-GVO). Damit kommt der Einwilligung als praktischer Bedeutung sein wird, ist der Alleine schon deswegen und in Anbe- eines der beiden Legitimationsmittel Umstand, dass eine Datenschutz-Ein- tracht der sehr deutlich erhöhten Strafen unverändert hohe Bedeutung zu. Dies willigung nach der EU-DS-GVO nicht bei Datenschutzverstößen ist man als gilt umso mehr, als dass der Einzelne es schriftlich abgegeben werden muss. Unternehmen gut beraten, möglichst gerade über eine Einwilligung selbst in Das BDSG schreibt in § 4 a Abs. 1 umfassend dokumentiert Einwilligun- der Hand hat, zu bestimmen, was andere BDSG dagegen die Schriftform vor, nur gen einzuholen. Dies kann ab 2018 aber Stellen, wie etwa Firmen, über ihn wis- wenn wegen „besonderer Umstände“ auch in elektronischer Form oder per sen und mit „seinen“ Daten an Verarbei- eine andere Form „angemessen“ ist, darf Scan o.Ä. erfolgen, eine Originalunter- tung durchführen dürfen. davon ausnahmsweise abgewichen wer- schrift ist dann nicht mehr nötig. den. In besonderen Eilfällen etwa kann Wo finden sich Regelungen zur diese Ausnahme greifen. Da aber die Hervorhebungspflicht Einwilligung in der EU-DS-GVO? Beweislast dafür, ob solche besonderen Umstände vorliegen, bei der verantwort- Dies führt zum nächsten Punkt, mit In der EU-DS-GVO finden sich die lichen Stelle liegt, besteht bei dieser Fra- dem vermieden werden soll, dass Ein- Regelungen zur Einwilligung in nur ge in Deutschland in der Praxis oft erheb- willigungen den Betroffenen „unter- einem Artikel, nämlich Art. 7 EU-DS- liche Rechtsunsicherheit: Ist etwa eine gejubelt“ werden, etwa als Teil von GVO. Dies erscheint relativ knapp, be- telefonisch einem Call Center gegenüber Allgemeinen Geschäftsbedingungen: trachtet man die zentrale Rolle, die der erteilte Einwilligung wirksam? Auch Dazu regelt die EU-DS-GVO, dass eine Einwilligung zukommt. dann, wenn keine Eilsituation vorliegt? Einwilligung, die Teil eines „größeren“ Der EU-DS-GVO sind aber sehr Das deutsche Recht kennt zudem eine Dokuments ist, das auch noch andere umfänglich sog. Erwägungsgründe vo- Art elektronische Form, die aber nur bei Inhalte aufweist (wie etwa AGB), dort rangestellt, in denen der europäische speziellen Daten im Internetbereich (sog. von den anderen Sachverhalten klar zu Gesetzgeber seine Gedanken und „Er- Bestands- und Nutzungsdaten) oder die unterscheiden sein muss. Mit anderen wägungen“ zusammengefasst darstellt. Werbung betreffende Einwilligungen Worten: Wenn die Einwilligung Teil von Dabei gilt die Besonderheit, dass die greifen kann; für alle anderen Formen AGB sein soll, muss sie dort optisch be- Erwägungsgründe Teil des europäischen von Einwilligungen gibt es in Deutsch- sonders hervorgehoben werden. Gesetzes, hier also der EU-DS-GVO land keine elektronische Form. Auch dies ist aber nicht neu, das deut- und damit ebenso rechtswirksam sind. Mit der EU-DS-GVO stellen sich die- sche Recht kennt dazu schon explizite Mit anderen Worten: Die Erwägungs- se Fragen dann nicht mehr, weil sie die Regelungen im BDSG und das schon seit gründe müssen jeweils „mitgelesen“ „Grundanforderung“ der Schriftlichkeit vielen Jahren. Umso erstaunlicher ist es, und bei der Auslegung der einzelnen nicht kennt. Aus praktischer Sicht ist dies dass dies bis heute oft missachtet wird. Artikel beachtet werden. Zur Einwilli- eine Erleichterung für beide Seiten, es Neu dagegen ist die ausdrückliche gung finden sich in einigen Erwägungs- entspricht auch der Digitalisierung und Regelung in der EU-DS-GVO, dass das gründen sogar ausführliche Hinweise, dem Wunsch, einen Medienbruch zu „Ersuchen um eine Einwilligung“ in sol- die zu einer Reihe von praxisrelevan- vermeiden und gewisse Dinge zu erleich- chen Fällen in „verständlicher und leicht ten Fragen Informationen enthalten. Es tern (neben dem klassischen Datenschutz zugänglicher Form in einer klaren und sind insbesondere die Erwägungsgründe ist die Erleichterung und die Förderung einfachen Sprachen zu erfolgen hat“. Nr. 32, 42, 43 und – was die Frage des des Datenverkehrs innerhalb der EU das Inhaltlich dagegen handelt es sich um Bestandsschutzes angeht – Nr. 171. zweite große Ziel der EU-DS-GVO). einen ohnehin geltenden Rechtsgrund- Zugleich geht damit die der Schrift- satz, der sich zudem auch noch aus dem Was ändert sich also bei den form innewohnende Warnfunktion ver- AGB-Recht ergibt. Einwilligungen? loren. Um dem zu begegnen, hat der eu- ropäische Gesetzgeber aber andere, zum Was an einer Einwilligung ist bei Das deutsche BDSG ist sehr streng, Teil auch nur klarstellende Regelungen einem Verstoß gegen die Vorga- was die Anforderungen und Vorgaben an in der EU-DS-GVO aufgenommen. ben unwirksam? eine wirksame Einwilligung angeht, zum Teil strenger als die EU-Datenschutz- Beweislast beim Verant­ Wichtig für die Praxis ist dagegen die Richtlinie von 1995. Insofern liegen aus wortlichen nunmehr in der EU-DS-GVO aufge- deutscher Sicht bei den Neuregelungen nommene ausdrückliche Regelung, dass der EU-DS-GVO die Änderungen eher So wird betont, dass die Beweislast nur diejenigen Teile einer Einwilligung im Detail als in großen oder besonders dafür, dass der Betroffene auch tatsäch- unwirksam sind, die gegen die Rege-

DANA • Datenschutz Nachrichten 2/2016 60 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

lungen der EU-DS-GVO verstoßen. Mit tet die Koppelung aber nicht. Anderer- EU-DS-GVO). In Deutschland ist ak- anderen Worten: Die Regelungen, die in seits, dass eine vorliegende Koppelung tuell dieser Hinweis im BDSG nicht Ordnung sind, bleiben gültig. aber auch – abhängig vom Einzelfall – vorgesehen, das TMG, das Internet- Zugleich ist es so, dass die ungülti- zur Unfreiwilligkeit und damit Unwirk- sachverhalte regelt, kennt ihn dagegen. gen, weil gegen die Verordnung versto- samkeit führen kann. Ebenso gibt es eine ähnliche Pflicht im ßenden Teile dann gänzlich entfallen: Es Da viele der kostenfreien Angebote BDSG in Verbindung mit einer gesetzli- gibt damit keine Reduktion auf dasjeni- im Internet auf dem Tausch „Serviceer- chen Erlaubnis zur werblichen Nutzung ge, was man (gerade) noch hätte zuläs- bringung gegen Daten(nutzung)“ ba- und deren Widerspruch (demgemäß in sigerweise regeln können. Grund dafür sieren und oft die Kostenfreiheit erst § 28 Abs. 4 BDSG geregelt, nicht bei der ist, dass man ansonsten einfach immer möglich machen, scheint die Regelung Einwilligung in § 4 a BDSG oder § 28 versuchen würde, das Maximale an in Art. 7 Abs. 4 EU-DS-GVO in ihrer et- Abs. 3 a BDSG). Einwilligung „herauszuholen“ und das was weiteren Fassung als in dem Erwä- Mit anderen Worten: Eine Einwilli- Schlimmste, was bei einem Verstoß pas- gungsgrund durchaus sinnvoll: Ein „To- gung ist nach neuem Recht nur zulässig, sieren würde, wäre, dass „nur“ das gilt, talverbot“ gibt es nicht, vielmehr muss wenn der Betroffenen vor Erteilung über was per Gesetz noch erlaubt ist. Auch im Einzelfall entschieden werden, wie das Widerrufsrecht hingewiesen wurde. diesen Rechtsgrundsatz kennt das deut- freiwillig eine Einwilligung erteilt wird. Für neue Einwilligung lässt sich dies gut sche Recht schon sehr lange im AGB- Bei Angeboten, die für das tägliche von Anfang an beachten, nicht aber für Recht. Leben wichtig sind, wie etwa die Er- schon in der Vergangenheit erteile Ein- öffnung eines Bankkontos oder der willigungen. Dies kann betreffend des Wie freiwillig muss eine Abschluss einer Versicherung, wird einleitend angesprochenen „Bestands- Einwilligung sein? die Freiwilligkeit damit wohl deutlich schutzes“ erhebliche Auswirkungen ha- strenger zu beurteilen sein, weil die ben, siehe im Folgenden. Unverändert wichtig ist, dass eine Betroffenen auf solche Verträge ange- Einwilligung freiwillig erteilt wird. Dies wiesen sind. Bei Verträgen dagegen, bei Was ist zum 25.05.2018 mit „Alt- ist eine in der Praxis sehr wichtige Fra- denen man die frei Wahl hat, wie etwa Einwilligungen“? ge, da mit der Freiwilligkeit die Wirk- einem Buchversand im Internet, dürfte samkeit der Einwilligung steht und fällt. die Freiwilligkeit großzügiger bewertet Die im Rahmen dieser Übersicht zu- In der EU-DS-GVO sind in Art. 7 Abs. 4 werden. letzt noch zu erwähnende Regelung Aspekte genannt, die bei der Beurtei- Weitere Aussagen zur Freiwilligkeit betrifft die Frage, was zum Stichtag am lung der Freiwilligkeit zu berücksichti- enthalten die Erwägungsgründe 42 und 25.05.2018 eigentlich mit Einwilligun- gen sind. Insbesondere soll danach eine 43, stellen u.a. darauf ab, wie groß das gen passiert, die zuvor erteilt wurden: Rolle spielen, ob ein Vertragsschluss Ungleichgewicht zwischen dem Betrof- Bleiben diese gültig? Immer oder nur etwa nur möglich ist, wenn der Kunde fene, der seine Einwilligung erteilen in bestimmten Fällen? Wer entscheidet zugleich in der (meist werblichen) Ver- soll, und der verantwortlichen Stelle ist, dies? arbeitung derjenigen seiner Daten ein- vor allem sind Behörden genannt. Die Frage ist von erheblicher Rele- willigt, die nicht zur Vertragsdurchfüh- vanz, wenn ein Unternehmen etwa viele rung erforderlich sind. Neu: Zwingender Hunderttausend Einwilligungen über Etwas strenger und damit gewis- Widerrufshinweis! die Jahre hinweg gesammelt hat und die sermaßen im Widerspruch dazu ist darauf basierende Datennutzung we- Erwägungsgrund Nr. 43, der bei sol- Eine weitere Neuerung ist, dass der sentlicher Teil des Geschäftsmodells ist. chen Koppelungen sogar von einer Widerruf der Einwilligung so einfach Bemerkenswert ist, dass sich in den Unwirksamkeit spricht (was nach an- möglich sein muss wie die Erteilung: Artikeln der EU-DS-GVO zu dieser Fra- deren rechtlichen Gründen etwas frag- Wenn man also in einer App per „Fin- ge nichts findet, sondern nur in einem würdig erscheint, da eine Einwilligung gertipp“ die Einwilligung erteilen kann, Entscheidungsgrund, nämlich Nr. 171. für Vorgänge, die schon zur Vertrags- muss man in der App auch deren Wider- Dort findet sich folgende Aussage: „Be- durchführung erforderlich sind, nicht ruf per „Fingertipp“ erklären können. ruhen die Verarbeitungen auf einer Ein- nötig ist). Es wird abzuwarten blei- Dies soll der „Beseitigung“ einer unter willigung gemäß der Richtlinie 95/46/ ben, welche Auswirkung dieser Erwä- Umständen vorschnell erteilten Einwil- EG, so ist es nicht erforderlich, dass die gungsgrund genau auf die etwas wei- ligung dienen, aber auch als Ausgleich, betroffene Person erneut ihre Einwilli- tere Regelung in Art. 7 EU-DS-GVO dass die strenge Schriftform nicht gefor- gung dazu erteilt, wenn die Art der be- haben wird. dert wird, dafür aber das „Loskommen“ reits erteilten Einwilligung den Bedin- Betrachtet man aber einmal nur Art. 7 von einer Einwilligung erleichtert ist. gungen dieser Verordnung entspricht, Abs. 4 EU-DS-GVO, beinhaltet dieser Ebenso neu ist die Vorgabe, dass so dass der Verantwortliche die Verar- Absatz zwei wichtige Aussagen: Einer- schon bei Abfrage der Einwilligung beitung nach dem Zeitpunkt der Anwen- seits, dass dass eine solche Koppelung und vor deren Erteilung der Betroffenen dung der vorliegenden Verordnung fort- nicht grundsätzlich verboten ist, denn darüber zu informieren ist, dass er die setzen kann.“ die Regelung schreibt nur die Berück- Einwilligung später mit Wirkung für die Dies bedeutet, dass eine „Alt-Ein- sichtigung dieses Umstands vor, verbie- Zukunft widerrufen kann (Art. 7 Abs. 3 willigung“ nur dann gültig bleibt, wenn

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 61 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

deren „Art“ mehr oder weniger zufällig derungen genügen: Denn nur solche Fazit: Was ist also neu? dem neuen Recht entspricht. Im Um- Einwilligungen bleiben wirksam. An- kehrschluss heißt dies aber, dass alle sonsten sollten die zwei Jahre genutzt Damit liegen aus deutscher Sicht die anderen „Alt-Einwilligungen“ unwirk- werden, Kunden mit Einwilligungen, Neuerungen der EU-DS-GVO zur Ein- sam werden. Dies war in früheren Fas- die nicht der EU-DS-GVO entspre- willigung vor allem in den Detailvorga- sungen der Entwürfe der EU-DS-GVO chen, schon jetzt auf neue Einwilligun- ben, wie zum Beispiel der entfallenden noch anders, dort gab es teilweise einen gen, die diese Anforderungen erfüllen, Schriftform sowie Vorgaben rund um den echten Bestandsschutz. In der finalen „umzustellen“. Widerrufshinweis und der Art des Wider- und gültigen Fassung aber gilt nur noch Betrachtet man den Umstand, dass rufs. Damit sind zugleich aber sehr pra- vorstehend zitierte Regelung. Von einem nach neuem Recht der Widerrufshin- xisrelevante Themen betroffen. Für den „Bestandschutz“ kann man damit gerade weis schon vor Erteilung der Einwil- Betroffenen wird der Schutz trotz Weg- nicht mehr sprechen, denn an bestehende lung erteilt werden muss und sieht falls der echten Schriftform im Ergebnis Einwilligungen werden ab 25.05.2018 dies als Anforderung auch für „Alt- wohl zumindest nicht schlechter und im dieselben Anforderungen gestellt wie Einwilligungen“, dürfe in vielen Fällen Hinblick auf die digitale Welt jedenfalls neu einzuholende Einwilligungen: Ent- in Deutschland diese Anforderung bei zeitgemäßer. Ein „mehr“ an Schutz gibt weder erfüllen sie die neuen Anforderun- „Alt-Einwilligungen“ nicht erfüllt sein: es über die verstärkten Freiwilligkeits- gen (und bleiben nur dann wirksam) oder Denn nach aktuellem deutschen Recht und Widerrufsanforderungen. nicht (und sind unwirksam). bedarf es dieses Hinweises nicht zwin- Dies führt dazu, dass jedes Unterneh- gend. Solchermaßen eingeholte Einwil- Rechtsanwalt Dr. Robert Selk beschäftigt men (und Behörde), das eine Datenver- ligungen wären dann zum 25.05.2018 sich seit über 15 Jahren intensiv mit dem arbeitung auf eine Einwilligung stützt, unwirksam. Datenschutz, ist im internationalen Kon- die nächsten beiden Jahre nutzen muss, Insofern ist wichtig, etwaige Einwilli- zernbereich als externer Datenschutzbe- um zu prüfen, ob Einwilligungen (bzw. gungen die nächsten beiden Jahre nicht auftragter tätig und sowie Mitgründer und deren „Art“, was auch immer damit nur am bis dahin gültigen aktuellen na- -gesellschafter einer Software- und Bera- tungsfirma im CRM- und Kundendaten- genau gemeint ist – dies ist eine der tionalen Recht auszurichten, sondern bereich, ebenso wie u.a. Leiter des Fach- vielen offenen Fragen) nach dem ak- sogleich auch an den Vorgaben der EU- ausschusses „Datenschutz“ der Deutschen tuellen Recht schon den neuen Anfor- DS-GVO. Gesellschaft für Recht und Informatik.

Werner Hülsmann Die Europäische Datenschutzgrundverordnung und ihre Auswirkungen auf den betrieblichen Datenschutz

Mit der Europäischen Datenschutz- Manche spezielle Regelungen, wie die gibt Art. 88 der DSGVO den Mitglied- grundverordnung (DSGVO) gibt es zur Videoüberwachung öffentlich zu- staaten die Möglichkeit „durch Rechts- auch im Bereich des betrieblichen gänglicher Räume, fallen weg, andere vorschriften oder durch Kollektivver- Datenschutzes mehr oder weniger we- Regelungen werden konkretisiert und einbarungen“ spezielle Regelungen zum sentliche Änderungen, die künftig zu weitere neu eingeführt. Dieser Artikel Beschäftigtendatenschutzgesetz zu er- beachten sind. Bei einigen Regelungen gibt eine erste Übersicht zu den wich- lassen. Die Bundesregierung plant – laut der DSGVO steht allerdings noch nicht tigsten Auswirkungen der DSGVO Aussagen eines Mitarbeiters der BfDI – fest wie sie zum Zeitpunkt des Gültig- auf den betrieblichen Datenschutz1 in den § 32 BDSG in das sogenannte „Ab- werdens der DSGVO am 25. Mai 2018 Deutschland. lösegesetz“2 zu „retten“ und somit zu- aussehen werden. Die DSGVO enthält mindest diese minimalistische Regelung viele Konkretisierungsklauseln, einige Beschäftigtendatenschutz zum Beschäftigtendatenschutz weiter davon muss der nationale Gesetzge- gelten zu lassen. ber bis zum Gültigwerden der DSGVO In der DSGVO gibt es bedauerlicher- Bereits bisher wurden „Kollektivver- ausfüllen, andere kann er bis zu diesem weise keine speziellen Regelungen zum einbarungen“, also Tarif- und Betriebs- Zeitpunkt oder auch später ausfüllen. Beschäftigtendatenschutz. Vielmehr vereinbarungen, die Regelungen zum

DANA • Datenschutz Nachrichten 2/2016 62 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Umgang mit Beschäftigtendaten ent- Daneben eröffnet Art. 37 Abs. 4 Satz 1, Art. 37 Abs. 7 regelt nun unmissver- halten, als „andere Rechtsvorschriften“ erster Halbsatz DSGVO die Möglich- ständlich: „Der Verantwortliche oder im Sinne des § 4 Abs. 1 BDSG angese- keit, dass „der Verantwortliche oder der der Auftragsverarbeiter veröffentlicht hen. Mit diesen Vereinbarungen konnte Auftragsverarbeiter oder Verbände und die Kontaktdaten des Datenschutzbe- und wurde für deren Geltungsbereich andere Vereinigungen, die Kategorien auftragten und teilt diese Daten der Auf- der Beschäftigtendatenschutz für spezi- von Verantwortlichen oder Auftrags- sichtsbehörde mit.“ Damit ist sicherge- elle Bereiche geregelt. Durch die Rege- verarbeitern vertreten, einen Daten- stellt, dass zum einen die Datenschutz- lung des Artikel 88 Abs. 1 bleibt diese schutzbeauftragten benennen“. Sollte aufsichtsbehörden und zum anderen die Möglichkeit erhalten. Der Abs. 2 gibt europäisches oder nationales Recht dies Betroffenen sich bei Bedarf auch direkt einen Rahmen für derartige Vereinba- vorschreiben, dann müssen die genann- an die jeweiligen Datenschutzbeauftrag- rungen vor: ten Stellen gemäß Art. 37 Abs. 4 Satz 1, ten wenden können. zweiter Halbsatz DSGVO einen Da- „Diese Vorschriften umfassen ange- tenschutzbeauftragten benennen. Diese Stellung der betrieblichen Daten- messene und besondere Maßnahmen Konkretisierungsklausel, die dem na- schutzbeauftragten7 zur Wahrung der menschlichen Würde, tionalen Gesetzgeber die Möglichkeit der berechtigten Interessen und der gibt, eigene weitgehende Regelungen An der Stellung der betrieblichen Da- Grundrechte der betroffenen Person, zur Pflicht zur Benennung von Daten- tenschutzbeauftragten ändert sich grund- insbesondere im Hinblick auf die Trans- schutzbeauftragten beizubehalten oder sätzlich nichts. Sie müssen „frühzeitig in parenz der Verarbeitung, die Übermitt- zu erlassen, ist vor allem dem Europäi- alle mit dem Schutz personenbezogener lung personenbezogener Daten inner- schen Parlament und im Ministerrat der Daten zusammenhängenden Fragen ein- halb einer Unternehmensgruppe oder Deutschen Vertretung zu verdanken. gebunden“ werden. Die Datenschutzbe- einer Gruppe von Unternehmen, die auftragten sind von den Verantwortlichen eine gemeinsame Wirtschaftstätigkeit Deutsche Regelung zur Benen- und den Auftragsverarbeitern bei der ausüben, und die Überwachungssyste- nung betrieblicher Datenschutz- Erfüllung ihrer Aufgaben sowie beim Er- me am Arbeitsplatz.“ beauftragter halt ihrer Fachkunde zu unterstützen. Die Datenschutzbeauftragten sind bezüglich Daher sind die in den bereits bestehen- Laut Aussagen von Mitarbeitern der der Ausübung ihrer Aufgaben weisungs- den Betriebs- und Tarifvereinbarungen Bundesbeauftragten für den Datenschutz frei und dürfen wegen der Erfüllung ihrer enthaltenen Regelungen dahingehend und die Informationsfreiheit (BfDI) so- Aufgaben nicht benachteiligt oder abbe- zu überprüfen, ob sie diesen Anforde- wie des Bundesministeriums für Justiz rufen werden. Die Datenschutzbeauftrag- rungen genügen. und Verbraucherschutz beabsichtigt die ten berichten „unmittelbar der höchsten Regierung die bisherigen Regelungen Managementebene“. Einen ausdrückli- Die betrieblichen Datenschutz- für die Pflicht zur Bestellung betriebli- chen Kündigungsschutz, wie nun schon beauftragten cher Datenschutzbeauftragter unverän- seit einigen Jahren im § 4f Abs. 3 Satz 4 dert in das „Ablösegesetz“ zu überneh- zu finden ist, kennt die DSGVO leider Die DSGVO sieht bei Unternehmen men. Allerdings ist nicht sicher, ob es nicht. Dies lässt befürchten, dass Unter- anders als bei Behörden keine generel- tatsächlich dazu kommt, da aus Kreisen nehmen wieder auf die Idee kommen, un- le Pflicht zur Bestellung eines -Daten der Wirtschaft manches Mal zu hören beliebte Datenschutzbeauftragte, die ihre schutzbeauftragten vor. Ein betriebli- ist, dass die Institution der betrieblichen Aufgaben ernst nehmen, betriebsbedingt cher Datenschutzbeauftragter ist dann Datenschutzbeauftragten eine büro- – d.h. nicht wegen ihrer Aufgabenerfül- zu benennen3 wenn kratische Last sei. Diese Aussage war lung – zu kündigen. • die Kerntätigkeit4 des Verantwortli- und ist zu Zeiten des BDSG falsch und Während in § 4f Abs. 5 Satz 2 BDSG chen5 oder des Auftragsverarbeiters wird auch zu Zeiten der DSGVO immer nur stand: „Betroffene können sich je- in der Durchführung von Verarbei- noch falsch sein: Unabhängig davon, derzeit an den Beauftragten für den Da- tungsvorgängen besteht, welche auf- ob in einem Unternehmen ein Daten- tenschutz wenden“ regelt Art 38 Abs. grund ihrer Art, ihres Umfangs und/ schutzbeauftragter zu bestellen ist oder 4 DSGVO nun „Betroffene Personen oder ihrer Zwecke eine umfangreiche nicht, die Anforderungen des BDSG können den Datenschutzbeauftrag- regelmäßige und systematische Über- und künftig der DSGVO müssen kom- ten zu allen mit der Verarbeitung ihrer wachung von betroffenen Personen petent umgesetzt werden. Hierbei ist ein personenbezogenen Daten und mit der erforderlich machen, oder wenn Datenschutzbeauftragter, der die erfor- Wahrnehmung ihrer Rechte gemäß die- • die Kerntätigkeit des Verantwortli- derlichen Fähigkeiten und Kenntnisse ser Verordnung im Zusammenhang ste- chen oder des Auftragsverarbeiters mitbringt, eine große Hilfe und Unter- henden Fragen zu Rate ziehen“. Diese in der umfangreichen Verarbeitung stützung für das Unternehmen. Formulierung ist deutlich weiter gefasst, besonderer Kategorien von Daten Die Stellung und die Aufgaben der als die bisherige Regelung des BDSG. gemäß Artikel 9 oder von personen- Datenschutzbeauftragten sind dagegen Wenn es Betroffene fordern, sind ihnen bezogenen Daten über strafrechtliche in der DSGVO geregelt und können von von den betrieblichen Datenschutzbe- Verurteilungen und Straftaten gemäß den nationalen Gesetzgebern nicht ab- auftragten nicht nur Auskünfte zu den Artikel 10 besteht.6 geändert werden. verarbeiteten personenbezogenen Daten

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 63 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

zu geben, sondern sie umfassend darü- Folgenabschätzung und Überwachung Zu berücksichtigen ist auch, dass ge- ber zu beraten, welche Rechte sie im Zu- ihrer Durchführung gemäß Artikel 35; genüber den Bußgeldvorschriften des sammenhang mit diesen Verarbeitungen • Zusammenarbeit mit der Aufsichtsbe- BDSG einige Bußgeldtatbestände hin- haben. hörde und zugekommen sind. So ist ein Verstoß Nach wie vor sind die Datenschutzbe- • Tätigkeit als Anlaufstelle für die Auf- gegen § 9 „Technische und organisa- auftragten bei der Erfüllung ihrer Aufga- sichtsbehörde in mit der Verarbeitung torische Maßnahmen“ BDSG bisher ben an Geheimhaltung und Vertraulichkeit zusammenhängenden Fragen, ein- nicht mit einem Bußgeld verwehrt, ein gebunden. Die bisherigen Regelungen schließlich der vorherigen Konsulta- Verstoß gegen Art. 25 „Datenschutz zur Verschwiegenheitsverpflichtung für tion gemäß Artikel 36, und gegebe- durch Technikgestaltung und durch da- externe Datenschutzbeauftragte bei Be- nenfalls Beratung zu allen sonstigen tenschutzfreundliche Voreinstellungen“ rufsgeheimnisträgern wie ÄrztInnen oder Fragen.“ DSGVO, in dem die Verpflichtung zur RechtsanwältInnen können vom deut- Umsetzung geeigneter technischer und schen Gesetzgeber beibehalten werden. Während in § 4g Abs. 1 Satz 4 Ziff. organisatorischer Maßnahmen enthalten Neu ist – zumindest die ausdrückliche 2 BDSG eine der Aufgaben der Daten- ist, ist mit einem Bußgeld bedroht. genannte – Regelung, dass der Verant- schutzbeauftragten darin bestand „die wortliche oder der Auftragsverarbeiter bei der Verarbeitung personenbezogener Was ist neu? sicherstellen muss, dass andere Aufgaben Daten tätigen Personen durch geeignete und Pflichten, die der Datenschutzbeauf- Maßnahmen mit den Vorschriften die- Grundsätze der Datenverarbeitung tragte eventuell neben seiner Tätigkeit als ses Gesetzes sowie anderen Vorschrif- Datenschutzbeauftragter für das Unter- ten über den Datenschutz und mit den In Artikel 5 der DSGVO werden nehmen erfüllen muss, „nicht zu einem jeweiligen besonderen Erfordernissen „Grundsätze für die Verarbeitung perso- Interessenkonflikt führen“. Diese For- des Datenschutzes vertraut zu machen“ nenbezogener Daten“ festgeschrieben. derung wurde zwar bisher von den Da- haben die Datenschutzbeauftragten die Diese sind: tenschutzaufsichtsbehörden und BDSG- Verantwortlichen und die Auftragsverar- Kommentatoren aus der von § 4f Abs. 2 beiter sowie die Beschäftigten nach der 1. „Rechtmäßigkeit, Verarbeitung nach Satz 1 BDSG geforderten Zuverlässigkeit DSGVO hinsichtlich ihrer Datenschutz- Treu und Glauben, Transparenz“, des Datenschutzbeauftragten abgeleitet, verpflichtungen „zu unterrichten und zu 2. „Zweckbindung“, war aber nicht direkt im BDSG enthalten. beraten“. 3. „Datenminimierung“, 4. „Richtigkeit“, Aufgaben der Datenschutzbe- Deutlich höhere Geldbußen 5. „Speicherbegrenzung“ (gemeint ist auftragten damit die frühestmögliche Anonymi- Nach Art. 83 Abs. 1 DSGVO sol- sierung der personenbezogenen Da- Die Datenschutzbeauftragten „oblie- len die Aufsichtsbehörden bei Daten- ten)8, und gen“ gemäß Art. 39 Abs. 1 DSGVO „zu- schutzverstößen Bußgelder verhän- 6. „Integrität und Vertraulichkeit“ mindest folgende Aufgaben: gen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ Der Verantwortliche ist für die Einhal- • Unterrichtung und Beratung des Ver- sind. Es wird künftig kaum mehr mög- tung dieser Grundsätze verantwortlich antwortlichen oder des Auftragsver- lich sein, etwaige Bußgelder „aus der und muss deren Einhaltung nachweisen arbeiters und der Beschäftigten, die Portokasse“ zu bezahlen. Die Höhe können, in der DSGVO „Rechenschafts- Verarbeitungen durchführen, hinsicht- der Bußgelder kann bis zu 20 Milli- pflicht“9 genannt. Zur Einhaltung der lich ihrer Pflichten nach dieser - Ver onen EUR oder bis zu 4% des welt- „Rechenschaftspflicht“ wird es erfor- ordnung sowie nach sonstigen Daten- weiten Umsatzes des Unternehmens derlich, die im Unternehmen ergriffenen schutzvorschriften der Union bzw. der betragen, je nachdem, welcher Betrag Maßnahmen zur Umsetzung des Daten- Mitgliedstaaten; der höhere ist. Nach Art. 83 Abs. 3 schutzes und insbesondere der Grund- • Überwachung der Einhaltung dieser werden mehrere Verstöße gegen die sätze zumindest in elektronischer Form Verordnung, anderer Datenschutz- DSGVO, die „bei gleichen oder mit- zu dokumentieren und diese Dokumen- vorschriften der Union bzw. der Mit- einander verbundenen Verarbeitungs- tation aktuell fortzuschreiben. gliedstaaten sowie der Strategien des vorgängen“ erfolgen, gemeinsam Im Zusammenhang mit dem Grund- Verantwortlichen oder des Auftrags- mit der maximalen Geldbuße für den satz der „Speicherbegrenzung“ ist zu be- verarbeiters für den Schutz personen- schwerwiegendsten geahndet. Aber achten, dass gemäß Erwägungsgrund 26 bezogener Daten einschließlich der dies wird deutlich höhere Geldbußen DSGVO die einer „Pseudonymisierung Zuweisung von Zuständigkeiten, der als bisher in Deutschland üblich waren unterzogene(n) personenbezogene(n) Sensibilisierung und Schulung der an auch nicht vermeiden. Die rechtzeitige Daten, die durch Heranziehung zusätz- den Verarbeitungsvorgängen beteilig- und vorausschauende Umsetzung der licher Informationen einer natürlichen ten Mitarbeiter und der diesbezügli- datenschutzrechtlichen Anforderun- Person zugeordnet werden könnten, chen Überprüfungen; gen wird also schon bereits aus mone- (…) als Informationen über eine iden- • Beratung — auf Anfrage — im Zu- tären Gründen ein wichtiges Ziel der tifizierbare natürliche Person betrachtet sammenhang mit der Datenschutz- Unternehmenspolitik werden. werden (sollten).“

DANA • Datenschutz Nachrichten 2/2016 64 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Pflicht, die Empfänger personenbezo- Dokumentation aktuell zu halten. Zu den der DSGVO weg. Art. 29 schreibt gener Daten über Löschung, Berich- den Dokumentationspflichten gehört allerdings vor: „Der Auftragsverar- tigung und Sperrung zu informieren auch das „Verzeichnis von Verarbei- beiter und jede dem Verantwortlichen tungstätigkeiten“ (aus dem BDSG als oder dem Auftragsverarbeiter unter- Sofern es möglich und mit einem Verfahrensübersicht bekannt), das wei- stellte Person, die Zugang zu perso- verhältnismäßigen Aufwand durch- ter unten dargestellt wird. nenbezogenen Daten hat, dürfen diese führbar ist, muss der Verantwortli- Daten ausschließlich auf Weisung des che alle Empfänger der betreffenden Was fällt weg? Verantwortlichen verarbeiten“. Dies personenbezogenen Daten über „jede ist – ohne dass es so genannt würde – Berichtigung oder Löschung der per- Videoüberwachung eine andere Formulierung des Daten- sonenbezogenen Daten oder eine geheimnisses. Einschränkung der Verarbeitung“10 Spezielle Regelungen zur Videoüber- Eine Regelung zur formalen Ver- informieren. Darüber hinaus ist die wachung, wie sie in § 6b BDSG ent- pflichtung der Mitarbeiter eines Un- betroffene Person auf Verlangen vom halten waren, sind in der DSGVO nicht ternehmens auf das Datengeheimnis16 Verantwortlichen über die Empfänger enthalten. Sofern eine – auch nur kurz- kennt die DSGVO nicht. Ohne ein zu- der Daten zu informieren. zeitige – Aufzeichnung der Videoüber- sätzliches „Vertrautmachen“ mit den wachung erfolgt, ist diese unstreitig als Datenschutzanforderungen am Arbeits- „Recht auf Datenübertragbarkeit“ Verarbeitung personenbezogener Daten platz hatte diese formale Verpflichtung anzusehen, bei der die allgemeinen Re- allerdings auch bislang in der Regel Auch wenn auf den ersten Blick der gelungen der DSGVO11 oder bei der keine Wirkung entfaltet. Art. 32 Abs. 4 Eindruck entstehen könnte, dass der Videoüberwachung von Beschäftigten DSGVO fordert: „Der Verantwortliche Art. 20 DSGVO in erster Linie auf auch die – wenn solche erlassen wer- und der Auftragsverarbeiter unterneh- große Datensammler wie Facebook den – speziellen Regelungen zum Be- men Schritte, um sicherzustellen, dass und Google abzielt, so gilt die Rege- schäftigtendatenschutz gelten. Sofern ihnen unterstellte natürliche Personen, lung, dass die betroffene Person „die nur eine Live-Beobachtung ohne Auf- die Zugang zu personenbezogenen Da- sie betreffenden personenbezogenen zeichnung erfolgt, ist noch zu klären, ten haben, diese nur auf Anweisung des Daten, die sie einem Verantwortlichen ob dies auch als Verarbeitung anzuse- Verantwortlichen verarbeiten“. Welche bereitgestellt hat, in einem strukturier- hen ist. Wenn ja, würden auch hier die Schritte dies sind, lässt die DSGVO an ten, gängigen und maschinenlesbaren entsprechenden Datenschutzanforde- dieser Stelle offen. Einer der Schritte Format zu erhalten“ hat um sie einem rungen gelten. Wenn nein, würden nur wird aber sicherlich sein, die Beschäf- anderen Dienstleister zur Verfügung zivilrechtliche Regelugen, wie das all- tigten auf die Regelung des Art. 29 DS- stellen zu können, für alle Daten, die gemeine Persönlichkeitsrecht, greifen. GVO hinzuweisen. Einer formalen Ver- Aufgrund einer Einwilligung oder auf pflichtung auf diese Regelung bedarf es Grund eines Vertragsverhältnisses au- Mobile personenbezogene Speicher- gemäß der DSGVO allerdings nicht. tomatisiert verarbeitet werden. Damit und Verarbeitungsmedien gilt diese Regelung z.B. auch für On- Was bleibt? line-Shop-Betreiber, Online-Spiele- Gab es mit § 6c BDSG spezielle Re- Anbieter aber auch für die Beschäftig- gelungen für Mobile personenbezogene Vieles, was aus dem BDSG bekannt tendaten des Arbeitgebers. Speicher- und Verarbeitungsmedien12, so und von daher in den Unternehmen sind mit Gültigwerden der DSGVO auf bereits umgesetzt ist (oder worden Dokumentationspflichten derartige Medien nur noch die Regelun- sein sollte) findet sich – wenn auch gen der DSGVO oder je nach Einsatzge- mit gewissen Abweichungen – auch in Wie oben dargestellt, fordert der Art. 5 biet derartiger Medien die entsprechen- der DSGVO. Ausgewählte Teilberei- der DSGVO, dass der Verantwortli- den bereichsspezifischen Regelungen che finden sich in den nachstehenden che die Einhaltung der Grundsätze der anzuwenden. Im betrieblichen Alltag Abschnitten. Da die Darstellung aller Datenverarbeitung nachweisen kann. kam § 6c BDSG allerdings selten zur dieser Regelungen den Rahmen dieses In Art. 24. wird von Verantwortlichen Anwendung. Dessen Forderungen las- Artikels sprengen würde, findet sich und Auftragsverarbeitern verlangt, dass sen sich zudem aus den in der DSGVO in der anschließenden Übersicht eine sie „geeignete technische und orga- ausdrücklich aufgeführten Grundsätzen Gegenüberstellung der entsprechenden nisatorische Maßnahmen (ergreifen), für die Verarbeitung personenbezogener Artikel der DSGVO zu den Paragra- um sicherzustellen und den Nachweis Daten13 und den Rechten der Betroffe- phen des BDSG. dafür erbringen zu können, dass die nen14 ableiten. Verarbeitung gemäß dieser Verordnung Verzeichnis von Verarbeitungstätig- erfolgt.“. Für diese Nachweiserbrin- Keine Verpflichtung mehr auf das keiten gung ist es unerlässlich die umgesetz- Datengeheimnis ten technischen und organisatorischen Das Führen der Verfahrensübersicht Maßnahmen in ausreichender Detail- Begrifflich fällt das Datengeheimnis bzw. des „Verzeichnisses von Verar- liertheit zu dokumentieren und diese aus § 5 Abs. 1 BDSG15 mit Gültigwer- beitungstätigkeiten“, wie es nun in der

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 65 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

DSGVO heißt, ist nun nicht mehr einen Angemessenheitsbeschluss fest- • Die Pflicht, geeignete technische und Aufgabe der Datenschutzbeauftrag- stellt „dass das betreffende Drittland, organisatorische Maßnahmen zu treffen ten, sondern ist eine Aufgabe, die die ein Gebiet oder ein oder mehrere (Art. 24 Abs. 1 DSGVO – § 9 BDSG) Unternehmen (Verantwortliche und spezifische Sektoren in diesem Dritt- • Datenminimierung, datenschutzfreund- Auftragsverarbeiter) gemäß Art. 30 land oder die betreffende internatio- liche Technik (Art. 25 Abs. 1 DSGVO DSGVO nun selbst verrichten müssen. nale Organisation ein angemessenes – § 3a BDSG) In dieses Verzeichnis sind „Namen und Schutzniveau bietet“17 und damit der • Erforderlichkeitsprinzip (Art 25 Abs. 2 die Kontaktdaten (…) eines etwaigen Datentransfer vorgenommen werden DSGVO – § 3a BDSG) Datenschutzbeauftragten“ anzugeben. darf. Auch die bisherigen Instrumen- • Strikte Regelungen für die Auftragsda- Bisher war diese Angabe in der Ver- te „Standarddatenschutzklauseln“ und tenverarbeitung (Artt. 28 und 29 DS- fahrensübersicht freiwillig. Dieses von der Aufsichtsbehörde zu geneh- GVO – § 11 BSDG) Verzeichnis ist nun nicht mehr vom migende „verbindliche interne Daten- • Regelungen zu den technischen und or- Datenschutzbeauftragten „jedermann schutzvorschriften“ bleiben erhalten. ganisatorischen Maßnahmen (Art. 32 in geeigneter Weise verfügbar“ zu ma- Unternehmen, die den Wegfall von DSGVO – Anhang zu § 9 BDSG) chen sondern von dem Verantwortli- Safe Harbor bereits berücksichtigt ha- • Meldepflicht von Datenschutzverlet- chen oder Auftragsverarbeiter der Da- ben, werden durch das Gültigwerden zungen an die Aufsichtsbehörde und tenschutzaufsichtsbehörde auf Anfrage der DSGVO keine unliebsamen Über- Benachrichtigung der Betroffenen (Artt. zur Verfügung zu stellen. raschungen für den internationalen Da- 33 und 34 DSGVO – § 42a BDSG) Im Übrigen entspricht der Inhalt tenverkehr erleben. • Aus der Vorabkontrolle durch den Da- des Verarbeitungsverzeichnisses im tenschutzbeauftragten wird die Daten- Wesentlichen den in § 4e BDSG ent- Weitere Regelungen in der Übersicht schutz-Folgenabschätzung durch den haltenen Angaben. Während nach § 4e Verantwortlichen (Art. 35 DSGVO – Ziffer 6 „Empfänger oder Kategorien In der folgenden Übersicht sind die § 4d Abs. 5,6 BSDG) von Empfängern, denen die Daten mit- noch nicht dargestellten Regelungen • Meldepflicht bestimmter Verfahren geteilt werden können“ zu benennen aufgenommen, die bereits im BDSG (Art. 36 DSGVO – § 4e BDSG) waren, sind nach Art 30 Abs. 1 lit. d enthalten waren und die grundsätzlich • Verhaltensregeln (Art. 40 DSGVO – „die Kategorien von Empfängern, ge- auch weiterhin in der DSGVO enthalten § 38a BDSG) genüber denen die personenbezogenen sind. Im Einzelnen können die bisheri- • Freiwillige Zertifizierung (Art. 42 DS- Daten offengelegt worden sind oder gen und die zukünftigen Regelungen GVO – § 9a BDSG) Für die Daten- noch offengelegt werden“ anzugeben. inhaltlich allerdings mehr oder weniger schutzzertifizierung nach § 9a BDSG Bei Datenübermittlungen an Drittstaa- deutlich voneinander abweichen. Daher fehlte allerdings bislang das Umset- ten oder internationale Organisationen ist auch bei den Regelungen in dieser zungsgesetz, daher gab es freiwillige ist in bestimmten Fällen zu dokumen- Übersicht eine intensive Beschäftigung Zertifizierungen bisher nur auf landes- tieren, dass es „geeignete Garantien“ mit den neuen Formulierungen unver- rechtlicher Basis. für ein angemessenes Datenschutzni- meidlich. veau beim Empfänger gibt. Neu ist, Es gibt weiterhin – auch auf EU-Ebe- Fazit dass in der DSGVO – im Gegensatz ne – bereichsspezifische Regelungen, zum BDSG – ein Verstoß gegen die wie z.B. die EU-Datenschutzrichtlinie Auch wenn viele der künftig gelten- Regelungen zur Führung dieses Ver- für die elektronische Kommunikation den Regelungen der DSGVO bereits zeichnisses mit einem Bußgeld be- (Richtlinie 2002/58/EG), deren Rege- derzeit schon im BDSG enthalten sind, droht wird. lungen durch die DSGVO nicht aufge- sollten alle Unternehmen – unabhän- hoben werden. gig von ihrer Größe – die verbleibende Internationale Datenübermittlungen • Verbot mit Erlaubnisvorbehalt (Art. 6 Zeit bis zum 25. Mai 2018 nutzen, um DSGVO – § 4 BDSG) die eigenen Datenverarbeitungen und Die bisherigen Möglichkeiten zum • Regelungen zur Einwilligung18 (Art. 7 die eigene Datenschutzorganisation – internationalen Datenaustausch, wie DSGVO – §§ 4a, 28 Abs. 3a, 3b BDSG) mit Unterstützung ihrer betrieblichen sie im betrieblichen Bereich gerade • Regelungen für die Verarbeitung beson- Datenschutzbeauftragten – an die An- bei Unternehmen in international auf- derer Datenarten (Artt. 9 u. 10 DSGVO forderungen der DSGVO und des noch gestellten Unternehmensgruppen oder – § 28 Abs. 6 BDSG) zu verabschiedenden „Ablösegesetzes“ Konzernen erfolgt, bleiben auch mit • Rechte der Betroffenen (Artt. 12-17 DS- anzupassen. der DSGVO grundsätzlich erhalten. In GVO – §§ 6, 7, 9 und 33-35 BDSG). der DSGVO sind die entsprechenden Die Informationspflichten aus Artt. 13 1 Die DSGVO gilt zwar überwiegend glei- Regelungen (Kapitel 5, Artt. 45-50 und 14 DSGVO sind allerdings sehr chermaßen für öffentliche und nichtöf- DSGVO) allerdings deutlich konkre- viel umfangreicher als die Benachrich- fentliche Stellen (also für Behörden und ter als die bisherigen Regelungen des tigungsvorgaben des § 33 BDSG private Unternehmen). Da aber derzeit für Behörden in Deutschland und in BDSG. • Regelungen zur automatisierten Ein- den Bundesländern andere Regelungen Insbesondere bleibt die Möglichkeit zelfallentscheidung (Art. 22 DSGVO – als für Unternehmen gelten, würde die erhalten, dass die Kommission durch § 6a BDSG Einbeziehung der Auswirkungen der DS-

DANA • Datenschutz Nachrichten 2/2016 66 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

GVO auf den behördlichen Datenschutz 6 Vgl. Art. 38 Abs. 1, lit b und c DSGVO werden können und 3. bei denen der den Rahmen dieses Artikels sprengen. Betroffene diese Verarbeitung nur durch 7 Vgl. Art. 38 Abs. 1 DSGVO den Gebrauch des Mediums beeinflussen 2 „Ablösegesetz“ ist der Arbeitstitel für 8 Vgl. Art. 5 Abs. 1 lit. e DSGVO: kann“ ein Gesetz, mit dem nach der derzeit „Personenbezogene Daten müssen in bekannten Planung zum einen zum 25. 13 Art. 5 DSGVO einer Form gespeichert werden, die die Mai 2018 das bisherige BDSG voll- Identifizierung der betroffenen Personen 14 Artt. 12-17 DSGVO ständig aufgehoben werden soll und nur so lange ermöglicht, wie es für die dass zum anderen sowohl die erforder- Zwecke, für die sie verarbeitet werden, 15 „Den bei der Datenverarbeitung beschäf- liche Regelungen (z.B. im Bereich der erforderlich ist“. Ausnahmen sind für im tigten Personen ist untersagt, personen- Datenschutzaufsichtsbehörden) als auch öffentlichen Interesse liegende Archiv- bezogene Daten unbefugt zu erheben, weitere Regelungen zur Nutzung von zwecke sowie für Wissenschaftliche und zu verarbeiten oder zu nutzen (Datenge- einigen der Konkretisierungsklauseln historische Forschungszwecke sowie für heimnis).“ enthalten soll. statistische Zwecke vorgesehen. 16 Vgl. § 5 Satz 2 BDSG 3 Der Begriff der „Benennung eines/einer 9 Vgl. Art. 5 Abs. 2 DSGVO Datenschutzbeauftragten“ in der DSG- 17 Vgl. Art. 45, Abs. 1 DSGVO VO ersetzt den Begriff der „Bestellung“ 10 „Einschränkung der Verarbeitung“ ist 18 Vgl. hierzu aber Erwägungsgrund aus dem BDSG grundsätzlich mit dem aus dem BDSG (EWG) 32 der DSGVO sowie Artikel 8 bekannten Begriff „Sperrung“ vergleich- 4 Zum Begriff der „Kerntätigkeit“ sagt „Bedingungen für die Einwilligung eines bar. Erwägungsgrund 97 DSGVO: „Im Kindes in Bezug auf Dienste der Infor- privaten Sektor bezieht sich die Kern- 11 Vgl. hierzu: Thilo Weichert: „Die Euro- mationsgesellschaft“ DSGVO tätigkeit eines Verantwortlichen auf päische Datenschutz-Grundverordnung seine Haupttätigkeiten und nicht auf die – ein Überblick“ in dieser Ausgabe Verarbeitung personenbezogener Daten 12 Das sind nach § 3 Abs. 10 BDSG als Nebentätigkeit.“ „Datenträger, 1. die an den Betroffenen 5 Der Begriff „Verantwortlicher“ aus der ausgegeben werden, 2. auf denen perso- DSGVO ersetzt den Begriff „verantwort- nenbezogene Daten über die Speicherung liche Stelle“ aus dem BDSG hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet

Auf den nächsten Seiten finden Sie Beiträge der folgenden Organisationen, Verbände und Einzelpersonen, die sich erneut mit den roten Linien, die sie in der DANA 3/2015 postuliert hatten, auseinandersetzen und in ihren Beiträgen Resümee ziehen, welche von den aufgestellten Forderungen in der EU-DSGVO eingehalten bzw. umgesetzt wurden. Manche Beiträge nutzen auch die Möglichkeit, den deutschen Gesetzgebern für die Gestaltung des BDSG-Ablösegesetzes Emp- fehlungen mitzugeben.

Die Beteiligten in alphabetischer Reihenfolge sind: BfDI – Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – www.bfdi.bund.de, BvD – Berufs- verband der Datenschutzbeauftragten Deutschlands (BvD) e.V. – www.bvdnet.de, Digitalcourage – Digitalcourage e.V. – www.digitalcourage.de, Digitale Gesellschaft – Digitale Gesellschaft e. V. – www.digitalegesellschaft.de, GDD – Ge- sellschaft für Datenschutz und Datensicherheit (GDD) e.V. – www.gdd.de, Konferenz der Datenschutzbeauftragten des Bundes und der Länder (erneut vertreten durch die hessische Aufsichtsbehörde in Abstimmung mit der momentan den Vorsitz innehabenden Aufsichtsbehörde aus Mecklenburg-Vorpommern) – (u.a.) https://datenschutz-berlin.de/content/ deutschland/konferenz, Prof. Douwe Korff – www.korff.co.uk/douwe, Peter Schaar – www.eaid-berlin.de, vzbv – Bun- desverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv) – www.vzbv.de

Die Deutsche Vereinigung für Datenschutz e.V. dankt den beteiligten Organisationen, Verbänden und Einzelpersonen, die erneut Beiträge zur EU-DSGVO beigesteuert haben. Farben: Logo auf weiß und hellen Hintergründen: HKS 4 CMYK: 0, 20, 100, 0 RGB: 255, 204, 0 HTML: # cc00

Schwarz CMYK: 0, 0, 0, 100 RGB: 0, 0, 0 DATENSCHUTZHTML: GESTALTEN #000000

Weiß CMYK: 0, 0, 0, 0 RGB: 255, 255, 255 HTML: #

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 67 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

BDfI – Andrea Voßhoff / Sven Hermerschmidt1 Rote Linien eingehalten? Zur Verabschiedung der Datenschutz-Grundverordnung

Mit der Verabschiedung der Daten- rechtecharta auslegen. Nicht zuletzt ist einen weiten Forschungsbegriff und der schutz-Grundverordnung2 stellt sich die es besonders wichtig, dass die Betrof- Unbestimmtheit des Begriffs „Statistik“ Frage, ob sich ihr Text innerhalb der fenen ihre Rechte wahrnehmen und die nicht unkritisch ist. Hier werden die Auf- nach der Ratseinigung definierten roten Zivilgesellschaft eine grundrechtsori- sichtsbehörden in der praktischen An- Linien bewegt.3 entierte Anwendung des Datenschutz- wendung der Verordnung darauf achten rechts immer wieder einfordert. müssen, dass diese Privilegierung nicht Vor einem Jahr habe ich mit der über deren eigentliche Intention hinaus I. Zur Datenschutz-Grund­ Zweckbindung und der Einwilligung ausgenutzt wird. verordnung zwei Themen herausgestellt, um damit b) Art. 6 Abs. 4 DSGVO erlaubt in beispielhaft den Verbesserungsbedarf seinem Obersatz in zwei Fällen auch Zentrale Frage war und ist, ob das be- für die Trilog-Verhandlungen aufzuzei- die Weiterverarbeitung zu solchen Zwe- stehende Datenschutzniveau durch die gen. Deren Schicksal ist wiederum ex- cken, die nicht mit dem Ursprungszweck Datenschutz-Grundverordnung beibehal- emplarisch für die vorsichtig positive vereinbar sind. Einerseits ist dies auf der ten wird oder nicht. Der Gesamtbefund Bilanz der vierjährigen Verhandlungen. Basis einer Einwilligung möglich, was fällt hier überwiegend positiv aus. Die angesichts der Autonomie des Betroffe- Verordnung bewegt sich sehr weitgehend 1. Die Zweckbindung nen konsequent ist. in dem Rahmen, der durch die EU-Grund- Andererseits ist eine solche Zweckän- rechtecharta vorgegeben ist und stellt da- Erfreulicherweise konnte sich das derung möglich, wenn sie auf einer mit ein dem heutigen Standard vergleich- Europäische Parlament in den Trilog- Rechtsvorschrift des Unions- oder mit- bar hohes Datenschutzniveau sicher. Verhandlungen mit seiner strikt an den gliedstaatlichen Rechts beruht. Diese Mit der Aufrechterhaltung der wich- Grundrechten orientierten Position sehr Rechtsvorschrift muss eine „in einer tigsten Prinzipien, aber auch der Einfüh- weitgehend durchsetzen. Die Daten- demokratischen Gesellschaft (…) not- rung neuer Elemente wie dem Markt- schutz-Grundverordnung verbleibt nun wendige und verhältnismäßige Maßnah- ortprinzip oder dem Recht auf Daten- in ihrem Art. 5 Abs. 1 lit. b) bei dem me zum Schutz der in Artikel 23 Absatz 1 übertragbarkeit kann sich das Ergebnis Grundprinzip, dass personenbezogene genannten Ziele“ darstellen. Dabei han- durchaus sehen lassen. Daten nur dann für andere Zwecke wei- delt es sich um wichtige öffentliche Hinzukommt, dass die Kooperations- terverarbeitet werden dürfen, wenn der Interessen wie z. B. die Landesverteidi- und Kohärenzmechanismen bei der neue Zweck mit dem ursprünglichen gung, die nationale Sicherheit, aber auch aufsichtsbehördlichen Tätigkeit die eu- Verarbeitungszweck vereinbar ist. Die fiskalische Interessen im Steuerbereich. ropaweite Harmonisierung vorantreiben Möglichkeiten, personenbezogene Da- Diese Möglichkeit der Zweckänderung werden. ten auch zu nicht vereinbaren Zwecken muss die grundrechtliche Garantie der Kritik an den sehr allgemeinen und weiterverarbeiten zu dürfen, sind stark Zweckbindung im Blick haben und auslegungsbedürftigen Vorschriften eingeschränkt worden. kann nur ausnahmsweise herangezogen der Datenschutz-Grundverordnung ist Gleichwohl sieht die Datenschutz- werden. Insbesondere stellt Art. 6 Abs. 4 wohlfeil. Angesichts der Vielzahl völlig Grundverordnung einige nicht unbe- DSGVO keine Befugnis zum Erlass ei- unterschiedlicher Interessen ist es ein deutende und zum Teil nicht unkritische ner Rechtsvorschrift dar, sondern nimmt Erfolg, dass sich 28 Mitgliedstaaten und Einschränkungen der Zweckbindung Bezug auf Rechtsvorschriften, die auf- das Europäische Parlament, das immer- vor. grund der (anderen) Öffnungsklauseln hin 4.000 Änderungsanträge zu behan- a) Die Weiterverarbeitung personenbe- der Datenschutz-Grundverordnung er- deln hatte, auf einen gemeinsamen Text zogener Daten zu im öffentlichen Interes- lassen worden sind. Anderenfalls könnte verständigt haben, dessen Regelungen se liegenden Archivzwecken, für wissen- Art. 6 Abs. 4 DSGVO – insbesondere es nun auszufüllen gilt. Auch wenn die schaftliche oder historische Forschungs- in Verbindung mit Art. 23 Abs. 1 lit. i) Verordnung nicht alle Wünsche eines zwecke oder für Statistikzwecke ist nach DSGVO – als nahezu uferlose Öff- Datenschützers befriedigen kann, wird Art. 5 Abs. 1 lit. b) 2. Halbsatz DSGVO nungsklausel für Regelungen vor allem jetzt ganz entscheidend sein, dass die per se mit dem Ursprungszweck verein- im nicht-öffentlichen Bereich genutzt nationalen Gesetzgeber, die Rechts- bar. Damit wird für diese Zwecke eine werden, was dem Harmonisierungsan- anwender und die Aufsichtsbehörden sehr weitgehende Privilegierung vor- spruch der Datenschutz-Grundverord- die Regelungen im Sinne der Grund- genommen, die gerade im Hinblick auf nung zuwiderliefe.

DANA • Datenschutz Nachrichten 2/2016 68 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

c) Art. 6 Abs. 4 DSGVO stellt darüber auch des insgesamt gestiegenen Be- te ich, dass die Gesetzgeber in Bund hinaus Kriterien auf, die bei der Prüfung darfs an einer europaweit einheitlichen und Ländern diese Spielräume in einer der Vereinbarkeit mit dem Ursprungs- Anwendung des Datenschutzrechts Weise nutzen, die sich am Recht auf zweck zu berücksichtigen seien. Hier ist wird die Zusammenarbeit der Auf- informationelle Selbstbestimmung ori- vor allem Art. 6 Abs. 4 lit. e) DSGVO sichtsbehörden in den 28 Mitgliedstaa- entiert. hervorzuheben, wonach auch Verschlüs- ten enorm an Bedeutung gewinnen. Dazu gehört die weitergehende ver- selung oder Pseudonymisierung Instru- Deutschland kann hier als födera- pflichtende Bestellung betrieblicher mente sind, die zugunsten einer Zulässig- ler Staat das Knowhow und die Er- Datenschutzbeauftragter ebenso wie die keit der Zweckänderung zu berücksichti- fahrung von insgesamt 18 staatlichen Schaffung eines Beschäftigtendaten- gen sind. Gerade die Weiterverarbeitung Aufsichtsbehörden in die Waagschale schutzgesetzes. Darüber hinaus sind die pseudonymisierter Daten dürfte für Ge- werfen, ein nicht zu unterschätzender Befugnisse der Aufsichtsbehörden, ins- schäftsmodelle, die auf der Nutzung von Vorteil im Vergleich zu den insoweit besondere eine Klagebefugnis sowie die Big-Data-Anwendungen beruhen, von fast ausschließlich zentral verfass- für Deutschland bislang nicht vorhande- Bedeutung sein, da auf diese Weise Big- ten Mitgliedstaaten. Andererseits hat nen Anordnungs- und Untersagungsbe- Data datenschutzkonform ausgestaltet auch Deutschland als Mitgliedstaat fugnisse im öffentlichen Bereich im Sin- werden kann. letztlich nur eine Stimme im europä- ne einer wirksamen Datenschutzaufsicht ischen Konzert, wie Art. 68 Abs. 3 auszugestalten. 2. Die Einwilligung und 4 DSGVO zeigt. Demnach muss Die Konferenz der unabhängigen Da- Deutschland einen gemeinsamen Ver- tenschutzbehörden des Bundes und der Anders als bei der Zweckbindung hat treter für den Europäischen Datenschut- Länder hat in einer Entschließung neben es bei den Anforderungen an die Einwil- zausschuss (EDSA) benennen. Dar- den genannten Themen weitere Punkte ligung gegenüber der Ratsfassung vom über hinaus muss gem. Art. 51 Abs. 3 benannt, die Gesetzgeber berücksichti- 15. Juni 2015 keine wesentlichen Ver- DSGVO sichergestellt werden, dass gen sollten.4 änderungen mehr gegeben. Abgesehen das Kohärenz­verfahren auch in einem von wichtigen Ausnahmen wird eine aus- Staat mit föderaler Aufsicht funktio- 1 Die Autorin Voßhoff ist Bundesbeauftrag- drückliche Einwilligung unter der Daten- niert, weshalb nach EG 119 eine zent- te für den Datenschutz und die Informati- onsfreiheit, der Autor Hermerschmidt ist schutz-Grundverordnung nicht notwen- rale Anlaufstelle einzurichten ist. dort Referent und Leiter der Projektgrup- dig sein. Nach der Definition in Art. 4 Damit Deutschland dennoch mit ei- pe „Revision des Europäischen Daten- Abs. 11 DSGVO bedarf es lediglich ei- ner starken und ernstzunehmenden schutzrechts“. ner „unmissverständlich abgegebenen Stimme spricht, bedarf es einer in der 2 Verordnung (EU) 2016/679, ABl. EU Willensbekundung“. Hier werden die europäischen Zusammenarbeit mit 2016, L 119/1 Aufsichtsbehörden genau prüfen müssen, ausreichenden Ressourcen versehenen 3 Voßhoff/Hermerschmidt, DANA 2015, dass die Betroffenen ihr Einverständnis Aufsichtsbehörde, die die genannten 117 zurechenbar und in Kenntnis aller Um- Aufgaben wahrnimmt. Der Bundesge- stände aktiv erteilen, damit die Grenzen setzgeber sollte daher die BfDI zum 4 Entschließung „Stärkung des Daten- schutzes in Europa – Nationale Spielräu- zwischen opt-in und opt-out nicht zulas- gemeinsamen Vertreter bestimmen me nutzen“ vom 6./7.4.2016, http://www. ten der Betroffenen verwischt werden. und die zentrale Anlaufstelle bei ihr bfdi.bund.de/SharedDocs/ einrichten. Zugleich müssen die Inter- II. Zur Anpassung des nationalen essen und Kompetenzen der Aufsichts- Datenschutzrechts behörden der Länder im Rahmen ihrer nationalen Zuständigkeiten auch in Trotz des grundsätzlichen Anspruchs, Europa eine starke Rolle spielen. Des- mit der Datenschutz-Grundverordnung halb ist es nicht zuletzt aufgrund der in- das Datenschutzrecht europaweit zu nerstaatlichen Kompetenzordnung des harmonisieren, enthält die Verordnung Grundgesetzes unabdingbar, dass sich bekanntlich eine Vielzahl von Öffnungs- immer auch ein Landesvertreter – in klauseln, die die nationalen Gesetzgeber der Rolle als stellvertretendes Mitglied verpflichten oder es ihnen ermöglichen, i. S. v. Art. 68 Abs. 3 DSGVO – unmit- mitgliedstaatliches Recht zu erlassen. Dies telbar im EDSA einbringen und damit betrifft neben den institutionellen Fragen das deutsche Gewicht in Europa erheb- vor allem die Verarbeitung personenbezo- lich verstärken kann. Nicht im numeri- gener Daten im öffentlichen Bereich. schen, aber im faktischen Sinne.

1. Eine starke Stimme für den deut- 2. Nutzung der nationalen Spielräu- schen Datenschutz in Europa me im Sinne des Datenschutzes

Angesichts der Kooperationsmecha- Angesichts der Vielzahl von natio- nismen, des Kohärenzverfahrens, aber nalen Regelungsmöglichkeiten erwar-

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 69 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

BvD – Thomas Spaeing Roten Linien des BvD zur DS-GVO – so sieht’s aus!

Europa hat sich ein neues Daten- Überblick über die Verarbeitung ihrer sehen, da allein durch den technischen schutzrecht gegeben, das ist eine gute Daten zu verlieren. Die Einhaltung die- Fortschritt ehemals sichere Verschlüs- Nachricht. Wirklich, in diesen Tagen ses Prinzips wird weiterhin durch die selungsmechanismen hinfällig werden. muss man dies betonen: Die 28 Mit- Datenschutzaufsichtsbehörden in den Bei diesen technischen Fragestellungen gliedsstaaten haben sich, nach über Mitgliedsstaaten überwacht und – so- wird sich auswirken, dass die DS-GVO vier Jahren an Diskussionen und ge- weit noch vorhanden – auch durch die sich mehr auf Schutzziele ausrichtet, waltiger Anteilnahme von außen, auf betrieblichen und behördlichen Daten- denn nur auf eine checklistenmäßige ein, wenn auch nicht einheitliches, so schutzbeauftragten gewährleistet. Abprüfung der Maßnahmen nach Anla- doch in Grundsätzen gemeinsames Da- ge zu § 9 BDSG. Es wird dabei eine Aus- tenschutzrecht geeinigt. Eine gewaltige Zweckbindung bleibt richtung nach dem „Stand der Technik“ Leistung für 28 so verschiedene Staaten erwartet, anstatt „anerkannte Regeln der und dazu in diesen Tagen und bei den Auch bei der Zweckbindung sah es Technik“, die mit einem niedrigeren Si- zahlreichen anderen großen Themen. lange so aus, als ginge diese im Strudel cherheitsniveau ausgelegt werden. Hierfür ist den zuständigen Akteuren zu der Interessen verloren. Durch die Rege- Hier kommt auch den betrieblichen danken! lung in Art. 5 Abs.1 lit. b DS-GVO wird Datenschutzbeauftragten eine wichtige Dass Datenschutz innerhalb Europas die Zweckbindung im europäischen Da- Rolle zu. Sie müssen die Zweckbindun- nun überall gleich funktioniert, darf man tenschutzrecht verankert. Damit dürfen gen und Zweckänderungen sowie eine nicht erwarten. Die Öffnungsklauseln personenbezogene Daten wie bisher Maßnahmenergreifung nach Gesichts- einerseits und die Unterschiedlichkeit in nur für eindeutige, festgelegte zulässige punkten der Informationssicherheit der Umsetzung andererseits bieten noch Zwecke verarbeitet werden. Zweckän- prüfen und hierzu beraten, um Risiken genügend Spielraum für deutlich ausei- derungen sind nur erlaubt, wenn die Än- für Betroffen wie auch Verarbeiter zu nanderliegende Varianten und Anwen- derungen mit dem ursprünglichen Erhe- vermeiden. dungen der neuen Regelungen. Doch bungszweck (Art. 5 Abs. 1 lit. b und Art. 6 dazu später mehr. Zunächst wollen wir Abs. 4 DS-GVO) vereinbar sind. Da- Datenminimierung ersetzt einen Blick werfen auf die roten Linien bei werden jetzt auch Kriterien festge- Datensparsamkeit des BvD vom Sommer 2015 – als noch legt, nach denen die Zulässigkeit einer gar nicht klar war, auf was EU-Parla- Zweckänderung zu beurteilen ist. Zu- An dieser Stelle muss eine zeitwei- ment und EU-Rat sich am Ende einigen dem legt die DS-GVO der für die Ver- lig ebenfalls durch Streichung bedroh- würden. arbeitung verantwortlichen Stelle auch te Regelung hingewiesen werden. Die umfassende Informationspflichten auf Datensparsamkeit aus dem BDSG galt Der Grundrechtsschutz in der (Artt. 13 und 14), so dass die Betroffe- lange als umstritten und wurde nun mit DS-GVO nen weitaus umfassender als bisher über der Regelung in Art. 5 Abs. 1 lit. c un- die Verarbeitungen zu informieren sind. ter dem Begriff der Datenminimierung Das Verbot mit Erlaubnisvorbehalt Insbesondere die Regelungen in Art. 6 in die Grundsätze aufgenommen. Damit wird beibehalten (Art. 6 DS-GVO). Eu- Abs. 4 DS-GVO können aber unter- bleibt ein wesentliches Datenschutz- ropa ist dem Ansatz der Prävention treu schiedlich verstanden werden und hier prinzip auch auf europäischer Ebene ge- geblieben: Ohne Rechtsgrundlage keine bleibt abzuwarten, welche Lesart seitens wahrt. Beide Regelungen sollen wahllo- Verarbeitung personenbezogener Daten. der Aufsichtsbehörden und auch der se Big-Data-Analysen nach dem Prinzip Obwohl zuletzt zur Ermöglichung neu- Rechtsprechung vorgegeben werden. „alles rein, dann schauen wir mal, was er Geschäftsmodelle der Wegfall dieses Eine Verschlüsselung stellt noch keine passiert“ verhindern und einen zielge- Prinzips gefordert wurde – und teilweise Garantie im Sinne dieser Regelung dar. richteten Smart-Data-Ansatz fördern: immer noch gefordert wird, konnte hier Schon bisher wurde eine Verschlüsse- Analysen nur mit den für den Zweck der Schutz der natürlichen Person bei lung von Daten immer mal wieder auf sinnvollen und zulässigen Daten durch- der Verarbeitung seiner Daten an Art. 8 eine Stufe mit anonymisierten oder zuführen. der Charta der Grundrechte der EU aus- pseudonymisierten Daten gestellt. Um Auch hier wird der Datenschutzbeauf- gerichtet werden. dazu eine Aussage treffen zu können, ist tragte wichtige Unterstützung leisten, Das Verbotsprinzip ist also weiterhin aber stets zu prüfen, wie und mit wel- indem er bereits bei der Konzeption von die wichtigste Säule eines wirksamen cher Güte verschlüsselt wird. Zudem ist Analysen auf diese Prinzipien hinwirkt Datenschutzes, der die Bewohner der ein Verschlüsselungsverfahren immer und hilft, kostenintensive Fehlanalysen EU davor bewahrt, den Einfluss und mit einem Haltbarkeitsdatum zu ver- zu vermeiden.

DANA • Datenschutz Nachrichten 2/2016 70 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Wirksame Aufsichtsstrukturen schutzbeauftragte das bewährte Inst- sich allerdings vielfach als pragmatisch rument. Damit die Unternehmen auch und zielführend erwiesen: Ein Manage- Für die Durchsetzung der Betroffe- zukünftig durch ihren bDSB unterstützt mentsystem. Wir kennen solche Lösun- nenrechte sind wirksame Aufsichtsstruk- werden, sollte der deutsche Gesetzgeber gen beispielsweise aus den Bereichen turen unerlässlich. Die DS-GVO hat die Öffnungsklausel im Sinne der be- Qualität, Informationssicherheit oder hier mit den Regelungen in Artt. 51 ff währten Regelungen nutzen und Klar- Umweltschutz. die Voraussetzungen geschaffen, um heit schaffen. Der Interpretationsspiel- Ein Datenschutzmanagementsystem die Aufsichtsbehörden EU-weit hand- raum der DS-GVO kann so aufgelöst ist der gebotene Ansatz, um die Anforde- lungsfähig zu machen. Es bleibt aber und die Erfahrung und das Know-how rungen der DS-GVO wirtschaftlich und abzuwarten, ob und wie schnell die EU- der bDSB weiterhin zielgerichtet einge- effizient in Unternehmen und Behörden Staaten diesen Vorgaben folgen werden. setzt werden. Hiervon profitieren Unter- umzusetzen. Darüber hinaus wird so die Zudem ist offen, ob die bisherige Pra- nehmen und Betroffene gleichermaßen. Grundlage für die in der DS-GVO gefor- xis, Datenschutzrecht unterschiedlich zu Angesichts der erheblichen Ausweitung derte Zertifizierung gelegt. Der Daten- interpretieren und daraus vollkommen der Datenverarbeitungen in den nächs- schutzbeauftragte steht im Zentrum des andere Handlungen abzuleiten, durch ten Jahren hilft den Unternehmen die Datenschutzmanagementsystems. Auf die DS-GVO ein Ende hat. Auch in Vertrauensposition des Datenschutzbe- Basis seiner Erfahrung und fachlichen Deutschland wurde EU-Recht gelegent- auftragten das dringend benötigte Ver- Kompetenz ist er in der Lage, die An- lich erst durch den EuGH zur Geltung trauen der Kunden und Mitarbeiter in forderungen der DS-GVO professionell verholfen. Bleibt die Umsetzungstreue Unternehmen und dessen Datenverar- in die Gestaltung eines Datenschutzma- der Mitgliedsstaaten derart schwach beitung zu erhalten und auszubauen. nagementsystems zu übertragen. Durch ausgeprägt, so wird die DS-GVO hier In Zusammenhang mit dieser Öff- die zu einem solchen System gehören- ein zahnloser Tiger. Aufsichtsbehör- nungsklausel sollte der deutsche Gesetz- den Prüfungen und Dokumentationen den ohne Kapazität und zudem noch geber – ganz im Sinne der bisherigen können die verarbeitenden Stellen ih- an europäische Abstimmungsverfahren Regelungen – die in der DS-GVO feh- rer Rechenschaftspflicht nachkommen (Kohärenzverfahren) gebunden, werden lenden Regelungen zum bDSB weiter- und gegenüber den Aufsichtsbehörden keine Aufsicht ausüben und somit auch führen. Insbesondere ist die Verschwie- transparent und nachvollziehbar die im keine Sanktionen verhängen können. genheit des DSB in der DS-GVO nicht Unternehmen etablierten Maßnahmen Wir sehen, auch hier bieten sich den ausreichend geregelt. Hier sollten die nachweisen. Mitgliedsstaaten Möglichkeiten, die bewährten Regelungen des BDSG über- Nicht wenige Unternehmen haben DS-GVO ganz unterschiedlich umzuset- nommen werden. Ferner war der Kündi- sich in den vergangenen Jahren bereits zen. Der Zwang zur EU-weiten Abstim- gungsschutz im BDSG weitgehender als zu diesem Schritt entschlossen und mung – so wichtig er für eine einheitli- der Abberufungsschutz in der DS-GVO. profitieren so bereits heute von den be- che Rechtspraxis ist – kann u. U. zudem Hier sollte in konsequenter Umsetzung währten Strukturen eines Datenschutz- zu einer regelrechten Lähmung des be- der Unabhängigkeitsanforderungen an managementsystems, welches unschwer hördlichen Aufsichtssystems führen. den bDSB ebenfalls auf die BDSG-Re- auf die neuen Anforderungen der DS- gelung zurückgegriffen werden. GVO angepasst werden kann. Die DS-GVO hält somit zwei weite- EU-weite Bestellpflicht des be- re Bestandteile der Aufsichtsstrukturen Abschließend kann festgestellt wer- trieblichen Datenschutzbeauf- bereit: den, dass die DS-GVO, bei aller Vor- tragten • Der betriebliche Datenschutzbeauf- sicht, auch viele Chancen bietet Verar- tragte wird auf EU-Ebene etabliert. beitungen neu zu konzipieren und zu ge- Dies ist eine besondere Leistung: • Das Verbandsklagerecht wird gestärkt stalten. Dadurch kann der Datenschutz EU-weit müssen in bestimmten Fällen und damit eine weitere Aufsichtskom- in den Unternehmen und Behörden pro- nun betriebliche und behördliche Da- petenz vergeben. fessionalisiert werden. Insofern sind die tenschutzbeauftragte (bDSB) installiert roten Linien des BvD zwar stellenwei- werden. Während allerdings Behörden Rechenschaftspflicht und Com- se strapaziert, aber unter Einbeziehung immer einen bDSB bestellen müssen, pliance der Öffnungsklauseln doch eingehalten sind Unternehmen nur unter bestimmten worden. Voraussetzungen dazu verpflichtet (s.a. Die DS-GVO verschiebt das Gewicht CuA 4/2016, S. 8 ff, T. Weichert). Zu im Datenschutz mehr in Richtung Com- Ihr BvD-Ansprechpartner: diesen Regelungen wurde zudem eine pliance – die verarbeitenden Stellen Vorstandsvorsitzender Thomas Spaeing, Öffnungsklausel in Art. 37 Abs. 4 DS- müssen nachweisen, dass alles Notwen- Budapester Straße 31, 10787 Berlin, GVO dokumentiert, die nun durch die dige zur Einhaltung der Regelungen un- Tel: 030 . 26 36 77 60, nationalen Gesetzgeber formuliert wer- ternommen wurde. Hier bieten sich nun E-Mail: [email protected], den muss. verschiedene Möglichkeiten. Zunächst Internet: https://www.bvdnet.de Um die DS-GVO für die deutsche denkt man an umfassende Richtlinien Wirtschaft wirksam und wirtschaftlich und Dokumentationen zu allen Verarbei- umzusetzen, ist der betriebliche Daten- tungsschritten. Ein anderer Ansatz hat

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 71 Rote Linien zur EU-DSGVO – Was ist daraus geworden? digitalcourage – Friedemann Ebelt Was taugt die neue Datenschutzgrundverordnung?

Ab 2018 werden persönliche Daten 2. Zweckbindung ohne können. Das ist die Basis für das Recht in der Europäischen Union durch die Ausnahmen (30% erreicht) auf informationelle Selbstbestimmung. neue Datenschutzgrundverordnung Wir haben gefordert, dass für Aus- geschützt. Jahrelang hat Digitalcou- Eine strikte Zweckbindung schützt künfte keine Gebühren anfallen dürfen. rage den Weg dahin kritisch begleitet Bürger.innen vor ungewollter Profilbil- Die neue Verordnung regelt, dass die mit Aktionen und Advocacy. Welche dung, vor übergriffigen Auswertungen, erste (elektronische) Kopie der Daten unserer fünf roten Linien für starken vor Datenhandel ohne Einverständnis kostenfrei zur Verfügung gestellt wer- Datenschutz wurden schließlich ein- und weiteren, unabsehbaren Eingriffen den muss. Für jede weitere kann eine gehalten?1 in ihre Grundrechte. Die darum von uns angemessene Gebühr erhoben werden. geforderte ersatzlose Streichung von Die Verordnung gibt Betroffenen um- 1. Prinzipien der Speicherung Artikel 6 (4) wurde umgesetzt. Artikel 6 fangreiche Rechte auf Auskunft und Zu- (50% erreicht)2 (3a) ist allerdings enthalten und erlaubt, gang. Das umfasst unter anderem: Zweck unter einigen Bedingungen, unzweck- und Dauer der Verarbeitung, das Recht Datensparsamkeit: Wir haben gefor- mäßige Datenverarbeitung. Hier ist die eine Beschwerde an die Aufsichtsbehör- dert, dass Artikel 5 (c) Datensammlungen Verarbeitung von persönlichen Daten de zu richten und Informationen zur Lo- auf das Notwendigste beschränkt. Die möglich, vorbei an der Zustimmung der gik und Nutzung von Profilen. Verordnung legt nun fest: „personenbe- betroffenen Person und vorbei an den Wenn Daten an Dritte weitergegeben zogene Daten müssen (…) auf das für Gesetzen der Mitgliedstaaten. werden, haben Betroffene das Recht die Zwecke der Verarbeitung notwendige über die Sicherheit des Transfers nach Maß beschränkt sein.“ Das Prinzip der 3. Profilbildung nur mit expliziter Artikel 42 informiert zu werden. Datensparsamkeit wurde damit abge- Zustimmung (90% erreicht) schwächt und den Zwecken der Verar- 5 Datenportabilität ermöglichen beitung untergeordnet. Das verlagert die Artikel 20 reguliert automatisiertes in- (100% erreicht) Crux auf die Zweckbindung (siehe 2.). dividuelles Entscheiden und die Bildung von Profilen. Wir haben gefordert, dass Artikel 18 gibt Nutzer.innen das Datenschutz durch Technikgestal- Profilbildung nur erlaubt ist mit expliziter Recht, ihre Daten von einem Internet- tung und durch datenschutzfreundliche Zustimmung der betroffenen Personen. Dienst zu einem anderen „mitzuneh- Voreinstellungen wird in Artikel 23 ge- Denn die Auswertung und Verknüpfung men”. Datenportabilität gibt die Mög- regelt. Wir haben gefordert, dass Artikel von Bewegungs-, Kommunikations- oder lichkeit, beispielsweise zwischen sozia- 23 drei Kriterien enthält: Entscheidungsprofilen sind nicht abschätz- len Netzwerken frei wählen zu können. bare Gefahren für die Privatsphäre. Arti- Das ermöglicht Wettbewerb und ver- (1) Das Kriterium „state of the art kel 20 der neuen Verordnung garantiert hindert Monopole. Digitalcourage hat technology“ ist enthalten. Datenverar- Betroffenen das Recht, dass keine Profile gefordert, dass Nutzer.innen ihre Daten beiter sollen beim Datensammeln den über sie angelegt werden. Dafür gibt es ohne Behinderung durch Verarbeiter Stand der Technik berücksichtigen. Al- drei Ausnahmen: Betroffene willigen ex- bewegen können und dass ihnen dafür lerdings müssen hier gleichwertig die plizit in die Maßnahme ein, die Maßnahme die Daten in üblichen elektronischen Kosten abgewogen werden. Das eröff- ist für Vertragsangelegenheiten notwendig Formaten zur Verfügung gestellt werden net erheblichen Spielraum. oder die Maßnahme ist durch das Gesetz müssen. Zudem haben Nutzer.innen mit (2) Das von uns geforderte Kriterium des Mitgliedstaates rechtens. der neuen Verordnung das Recht, die „international best practices“ ist nicht in Rat und Kommission wollten ur- Daten direkt zwischen den Verarbeitern der Verordnung enthalten. sprünglich den Betroffenen lediglich ein bewegen zu lassen. (3) Die Kriterien „technical and or- Widerspruchsrecht einräumen. Die Ar- ganisational measures“ sind enthalten. beit für stärkeren Datenschutz hat sich Weiter mitgestalten! Allerdings wird hier, entgegen unserer an dieser Stelle ausgezahlt. Forderung, das Beispiel Pseudonymisie- Die Europäische Datenschutzgrund- rung genannt. 4 Auskunftsrechte immer verordnung hat Rechte und Pflichten Grundsätzlich ist es ein entscheiden- kostenfrei! (60% erreicht) zwischen Staaten, Unternehmen und der Fortschritt, dass das Prinzip „data Nutzer.innen neu geordnet. Viele Über- protection by design and by default“ in Artikel 15 regelt, welche Daten Be- griffe der Konzern-Lobby konnten ver- der Verordnung verankert ist. troffene bei den Verarbeitern einsehen hindert werden. Trotz einiger Schwach-

DANA • Datenschutz Nachrichten 2/2016 72 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

stellen wurden entscheidende Regu- noch offenen Spielräume datenschutz- sche Übersetzung der Verordnung. lierungen und Rechte erkämpft. Diese freundlich zu gestalten. Darum können hier verwendete Begrif- müssen jetzt genutzt werden. Das zu er- fe vom offiziellen Text abweichen. möglichen, ist die Aufgabe, die jetzt vor 1 Zum Zeitpunkt der Beitragserstel- 2 Um übersichtlich zu sein, ist jeweils grob uns liegt. Eine weitere besteht darin, die lung existierte keine endgültige deut- eingeschätzt, zu wie viel „Prozent“ un- sere roten Linien eingehalten wurden.

Digitale Gesellschaft – Volker Tripp Datenschutzgrundverordnung: Überfällige Reform mit Abstrichen

Ganze vier Jahre hat es seit dem Vor- eine ausdrückliche Einwilligung. In allen monisierungswirkung der Verordnung schlag der EU-Kommission bis zur anderen Fällen lässt sie eine zweifelsfreie ganz erheblich und rückt das Ziel, Europa Verabschiedung der Datenschutzgrund- Einwilligung, etwa durch konkludentes in eine echte Datenunion mit einheitli- verordnung durch das Europäische Handeln, ausreichen. Dadurch entstehen chen Schutzstandards zu verwandeln, in Parlament gedauert. Insbesondere der neue Grauzonen, welche die Datensouve- weite Ferne. Ministerrat, in dem die Regierungen ränität der Nutzerinnen und Nutzer eher In einigen Punkten konnten jedoch der EU-Mitgliedsstaaten vertreten sind, schwächen als stärken. Schließlich ist die auch Fortschritte erzielt werden. Beson- verschleppte das Gesetzesvorhaben zur Einwilligung die wichtigste Vorausset- ders erfreulich ist etwa, dass das Prinzip Vereinheitlichung des Datenschutzes in zung für die Zulässigkeit der Verarbeitung der Datensparsamkeit nunmehr nicht nur Europa immer wieder und versuchte, die personenbezogener Daten. europaweit gesetzlich verankert wurde, Reform mit immer neuen Einwänden und Obendrein hat sich der Gesetzgeber an sondern sogar bereits in der Gestaltungs- Vorschlägen zu verwässern. Zentrale Da- zahlreichen Stellen der Verordnung auch phase neuer Systeme und Algorithmen zu tenschutzprinzipien wie die Zweckbin- vor einem echten Ausgleich zwischen den berücksichtigen ist. Das mag zwar ins- dung, die Einwilligung der Betroffenen Interessen der Betroffenen einerseits und besondere von Anbietern, die mit „Big oder die Datensparsamkeit sollten ins- denen der datenverarbeitenden Unterneh- Data“-Geschäftsmodellen liebäugeln, als besondere nach dem Willen der Vertre- men andererseits gedrückt. Häufig wer- Belastung und als Einschränkung ihrer ter Deutschlands, Großbritanniens und den schwammige und auslegungsbedürf- unternehmerischen Freiheit empfunden Frankreichs geschwächt und soweit wie tige Begriffe verwendet, so dass unklar werden. Die Stärkung der Datensparsam- möglich abgeschafft werden. Hintergrund bleibt, wie der Ausgleich in der Praxis keit könnte allerdings auch einen Inno- des Bestrebens, diese Grundsätze aufzu- genau ausfallen wird. Unternehmen ha- vationsschub bei den Geschäftsmodellen bohren, war die Hoffnung der Mitglieds- ben beispielsweise das Recht, personen- datenverarbeitender Unternehmen auslö- staaten, auch in Europa Geschäftsmodelle bezogene Daten auch ohne Einwilligung sen und so langfristig dazu beitragen, Eu- auf der Grundlage von „Big Data“, also der Betroffenen zu verarbeiten, wenn sie ropa als „Kontinent des Datenschutzes“ dem Auswerten riesiger Datenmengen, zu ein „berechtigtes Interesse“ an der Ver- zu etablieren. befördern. arbeitung haben. Da die Verordnung die- Auch ein weiteres Kernprinzip des Da- Glücklicherweise konnte sich der Mi- sen Begriff selbst nicht näher definiert, tenschutzes, die Zweckbindung, konnte nisterrat mit seiner überaus wirtschafts-, werden letztlich Aufsichtsbehörden und glücklicherweise erhalten und in der Ver- aber wenig datenschutzfreundlichen Hal- Gerichte entscheiden müssen, wann ein ordnung festgeschrieben werden. Gerade tung im Ergebnis nur bedingt durchset- solches Interesse vorliegt. im Zusammenspiel mit den ebenfalls vor- zen. Obwohl das Europäische Parlament Anhand der Häufigkeit, mit der solche gesehenen Informationspflichten leistet zumeist Schlimmeres verhindern konnte, unbestimmten Rechtsbegriffe in der Da- die Zweckbindung einen wichtigen Bei- hätte die Verordnung an vielen Stellen tenschutzgrundverordnung Verwendung trag zur Stärkung der Datensouveränität. gleichwohl präziser, expliziter und konse- finden, lässt sich auch gut ablesen, wie Vor jeder Erhebung, Verarbeitung oder quenter ausfallen können. schwierig es für die Gesetzgebungsor- Nutzung ihrer personenbezogenen Daten So hätte etwa bei der Einwilligung der gane der EU war, sich auf einen Text zu müssen die Betroffenen über sämtliche Nutzerinnen und Nutzer in die Verarbei- einigen. An insgesamt mehr als 60 Stellen entscheidungsrelevanten Umstände sowie tung ihrer Daten durchaus mehr erreicht der Verordnung finden sich nationale Öff- den Zweck in leicht verständlicher Form werden können. Nur bei besonders sen- nungsklauseln, die teils elementare Rege- in Kenntnis gesetzt werden. Im Verhältnis siblen Daten verlangt die Verordnung lungen betreffen. Dies schwächt die Har- zur bisherigen Rechtslage in Deutsch-

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 73 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

land ist das zwar keine echte Neuerung; Bundesregierung und Bundestag stehen reichen Öffnungsklauseln in deutsches da jedoch auch das Marktortprinzip in nun vor der großen Aufgabe, die deutsche Recht umgesetzt werden. Dabei wird sich der Verordnung verankert wurde, müssen Rechtslage an die Vorgaben der Verord- zeigen, ob Bundesregierung und Bundes- sich nun sämtliche datenverarbeitenden nung anzupassen. Dies bedeutet einerseits, tag den Geist der Reform verinnerlicht ha- Unternehmen, die in der EU Geschäfte dass zahlreiche bestehende Gesetze wie ben oder eher versuchen werden, ihn wei- machen, an diese Regeln halten. Die Auf- das Bundesdatenschutzgesetz oder das Te- ter zu verwässern. Mit der Verabschiedung sichtsbehörden, bisher oft als zahnlose lemediengesetz zu großen Teilen aufgeho- der Datenschutzgrundverordnung haben Tiger verspottet, können Verstöße zudem ben werden müssen, um redundante oder die Befürworter des Datenschutzes eine mit Bußgeldern von bis zu 4 % des welt- abweichende nationale Regelungen zu wichtige Schlacht gewonnen, den Krieg weiten Jahresumsatzes ahnden. vermeiden. Andererseits müssen die zahl- hingegen noch lange nicht.

GDD – Andreas Jaspers Der Datenschutzbeauftragte in der Datenschutz- Grundverordnung – Handlungsbedarf des deutschen Gesetzgebers

Bestellpflicht mit Öffnungsklausel auf der Ebene des EU-Rechts bzw. des kann in Deutschland die Selbstkontrolle nationalen Rechts im Verhältnis zur DS- auf betrieblicher Ebene durch einen un- Eine der Innovationen des neuen eu- GVO weitergehende Verpflichtungen zur abhängigen Berater erhalten bleiben. Das ropäischen Datenschutzrechts stellt die Bestellung von Datenschutzbeauftragten Bundesinnenministerium hat angekün- verpflichtende Bestellung von behördli- vorzusehen. Art. 37 Abs. 4 DS-GVO digt, die Bestellungsvoraussetzungen chen und betrieblichen Datenschutzbe- stellt überdies klar, dass die freiwillige für einen betrieblichen Datenschutzbe- auftragten auf europäischer Ebene dar. Bestellung von Datenschutzbeauftragten auftragten in einem Verordnungsergän- Während die EU-Datenschutzrichtlinie unbenommen ist. zungsgesetz gegenüber dem BDSG un- von 1995 die Bestellung nur fakultativ Der deutsche Gesetzgeber sollte die verändert zu regeln. Es käme damit auch vorsah, ist diese europaweit für Behör- Öffnungsklausel nutzen und die bewähr- einem Beschluss des Deutschen Bundes- den oder öffentliche Stellen verpflich- ten Bestellvoraussetzungen, wie sie ak- tages nach, wonach die Bundesregierung tend. Für die Privatwirtschaft ist die tuell in § 4f Abs. 1 BDSG geregelt sind, aufgefordert wird, „das in Deutschland Bestellung aber nur bei Unternehmen beibehalten. Da die Voraussetzungen bestehende und bewährte System der Be- obligatorisch, deren „Kerntätigkeit aus nach der DS-GVO für eine Bestellpflicht auftragten für den Datenschutz in Unter- Verarbeitungsvorgängen besteht, wel- nur von einer sehr kleinen Anzahl von nehmen und der Verwaltung“ in der EU- che auf Grund ihres Wesens, ihres Um- Unternehmen erfüllt werden, wäre sonst DS-GVO nicht zu gefährden (BT-Drs. fangs und/oder ihrer Zwecke eine regel- die Konsequenz, dass in Deutschland die 17/11325, Abschnitt II., Nr. 21). mäßige und systematische Beobachtung Bestellung betrieblicher Datenschutz- von betroffenen Personen erforderlich beauftragter in Industrie, Handel und Abberufungsschutz, aber kein machen“. Ebenso sollen nur Datenver- Mittelstand mit Geltung der DS-GVO Kündigungsschutz arbeiter, deren Kerntätigkeit aus der auslaufen würde. Betroffene hätten einen Verarbeitung besonderer Kategorien Anwalt für ihre Rechte und Interessen Der Datenschutzbeauftragte darf nach von Daten gemäß Artikel 9 und 10 der in den Unternehmen verloren. Zugleich der Grundverordnung nicht wegen der DS-GVO „in großem Umfang“ besteht, wäre für die Unternehmensleitung der Erfüllung seiner Aufgaben benachteiligt einer Bestellpflicht unterfallen. unabhängige Berater und Garant der oder abberufen werden (Art. 38 Abs. 3). Die Pflicht zur Bestellung eines Da- Selbstkontrolle auf betrieblicher Ebene Der Abberufungsschutz ist jedoch nicht tenschutzbeauftragten soll sich künftig wegfallen. durch einen arbeitsrechtlichen besonde- nicht nur aus der DS-GVO selbst erge- Von daher ist die von der GDD gefor- ren Kündigungsschutz wie in § 4f Abs. ben können. Insbesondere aufgrund des derte und vom Bundesinnenministerium 3 Satz 5 und 6 BDSG flankiert. Dieser Bestrebens Deutschlands im Rahmen der für zwingend erklärte zusätzliche nati- ist mit der Novelle aus dem Jahr 2009 in Verhandlungen zur DS-GVO wurde in onale Öffnungsklausel in Art. 37 Abs. das BDSG aufgenommen worden, da der Art. 37 Abs. 4 DS-GVO eine Öffnungs- 4 DS-GVO für die betriebliche Selbst- Abberufungsschutz eines betrieblichen klausel vorgesehen, die es ermöglicht, kontrolle von großer Bedeutung. Damit (Teilzeit-)Datenschutzbeauftragten nach

DANA • Datenschutz Nachrichten 2/2016 74 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

der Rechtsprechung bis dahin nie zu ei- der Vertraulichkeit im Bereich des Be- Art. 35 Abs. 2 DS-GVO in die Daten- nem Kündigungsschutz geführt hatte. schäftigtendatenschutzes, drohen doch schutzfolgeabschätzung einzubinden. Hier ist wieder der deutsche Gesetzgeber ggf. karrieremäßige Nachteile, wenn Damit entfällt auch die „Zweifelsfall- gefragt, den Datenschutzbeauftragten bekannt wird, dass sich ein Mitarbeiter regelung“, die dem Datenschutzbeauf- auch arbeitsrechtlich abzusichern. zwecks Überprüfung der Verarbeitung tragten die Pflicht auferlegt, selbständig seiner personenbezogener Daten an den die Aufsichtsbehörde zu konsultieren. Verschwiegenheitspflicht Datenschutzbeauftragten gewandt hat. Gleichwohl ist er gemäß Art. 39 Abs. 1 Eine vergleichbare Pflicht wie in § 4f lit. e DS-GVO Ansprechpartner für Ein weiterer Handlungsbedarf besteht Abs. 4 BDSG ist in der DS-GVO nicht die Aufsichtsbehörden in allen Daten- bei der Verschwiegenheitspflicht des vorgesehen. Festgestellt wird nur, dass schutzfragen inklusive im Verfahren der Datenschutzbeauftragten. Nach Art. 38 der Datenschutzbeauftragte nach dem vorherigen Konsultation nach Art. 36 Abs. 4 DS-GVO können betroffene Recht der Union oder der Mitgliedstaa- DS-GVO. Personen den Datenschutzbeauftrag- ten bei der Erfüllung seiner Aufgaben an Die Rechtstellung des Datenschutzbe- ten zu allen mit der Verarbeitung ihrer die Wahrung der Geheimhaltung oder auftragten gemäß Art. 38 DS-GVO ist personenbezogenen Daten und mit der der Vertraulichkeit gebunden ist (Art. 38 vergleichbar mit der gemäß BDSG. So Wahrnehmung ihrer Rechte aus der Ver- Abs. 5 DS-GVO). Insofern ist es drin- agiert er weisungsfrei, bei gleichzeitiger ordnung in Zusammenhang stehenden gend geboten, die bisherigen nationalen unmittelbarer Berichtsmöglichkeit ge- Fragen zu Rate ziehen. Diese Regelung Vorschriften zur Verschwiegenheit des genüber der höchsten Managementebe- entspricht im Wesentlichen der nati- Datenschutzbeauftragten aufrechtzuer- ne. In diesem Zusammenhang erfolgt onalen Regelung in § 4f Abs. 5 Satz 2 halten. Hierzu zählen auch § 4f Abs. 4a auch die Klarstellung, dass eine Unter- BDSG, wonach sich Betroffene jeder- BDSG und § 203 Abs. 2a StGB. nehmensgruppe einen einzelnen Beauf- zeit an den Beauftragten für den Daten- tragten für den Datenschutz bestellen schutz wenden können. Nach bestehen- Verstärkte Compliance-Funktion kann (Art. 35 Abs. 2 DS-GVO) dem Recht steht die Tätigkeit des Da- Der Entwurf der DS-GVO beinhaltet tenschutzbeauftragten als „Anwalt der Die Aufgaben der betrieblichen und keine abschließende Aufgabenzuwei- Betroffenen“ in engem Zusammenhang behördlichen Datenschutzbeauftragten sung. Dies unterstreicht Art. 38 Abs. 6 zu dessen Verschwiegenheitspflicht aus sind durch eine verstärkte Compliance- DS-GVO, der die Wahrnehmung anderer § 4f Abs. 4 BDSG. Nach dieser Rege- Funktion gekennzeichnet. Operative Aufgaben nur unter den Vorbehalt eines lung ist der Datenschutzbeauftragte zur Aufgaben des BDSG wie die Schulung Interessenkonflikts stellt. Sollen vom Da- Verschwiegenheit über die Identität der Mitarbeiter oder die Programmprü- tenschutzbeauftragten über den normativ des Betroffenen sowie über Umstände, fung entfallen. Die Datenschutzfolgen- verbindlich geregelten Bereich hinaus die Rückschlüsse auf diesen zulassen, abschätzung, die die Vorabkontrolle Aufgaben übernommen werden, bedarf verpflichtet, soweit er nicht hiervon ablöst, fällt in die Verantwortung des es einer entsprechenden Zuweisung in der befreit wird. Besondere Bedeutung er- Unternehmens oder der Behörde. Der Stellenbeschreibung. Hier sind Arbeitge- langt die Verpflichtung zur Wahrung Datenschutzbeauftragte ist aber gemäß ber und Datenschutzbeauftragter gefragt.

Konferenz der Datenschutzbeauftragten des Bundes und der Länder – Prof. Dr. Michael Ronellenfitsch, Barbara Dembowski, Michael Kaiser, Maria Christina Rost, Julia Stoll, Dr. Rita Wellbrock Stärkung des Datenschutzes in Europa – nationale Spielräume

Am 4. Mai 2016 wurde die Daten- 1. Sozial- und Gemäß Art. 6 Abs. 2 können die Mit- schutz-Grundverordnung (DSGVO, Gesundheitsbereich gliedstaaten spezifischere Bestimmun- Verordnung (EU) 2016/679) im Amts- gen zur Anpassung der Anwendung blatt der EU veröffentlicht. Bis zum Für die Verarbeitung von Sozial- und der Vorschriften der DSGVO in Bezug 25. Mai 2018 haben die nationalen Gesundheitsdaten sind die Art. 6 (Recht- auf die Verarbeitung zur Erfüllung von Gesetzgeber nun Zeit, die nationalen mäßigkeit der Verarbeitung) und Art. 9 der Abs. 1 lit. c) und lit. e) beinhalten oder Spielräume zu analysieren und auszu- DSGVO (besondere Kategorien personen- einführen, indem sie spezifische Anfor- gestalten. bezogener Daten) von zentraler Bedeutung. derungen für die Verarbeitung sowie

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 75 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

sonstige Maßnahmen präziser bestim- hingewiesen, dass die nationalen Rege- ergibt sich aus Erwägungsgrund 64 DS- men, um eine rechtmäßig und nach Treu lungen jedoch den freien Verkehr perso- GVO, dass Daten nicht alleine zu dem und Glauben erfolgende Verarbeitung zu nenbezogener Daten innerhalb der Union Zweck der Auskunftserteilung gespei- gewährleisten. Gemäß Art. 6 Abs. 1 lit. e) nicht beeinträchtigen sollte. Ob und wie chert werden sollen. Werden die über- ist die Verarbeitung personenbezogener der Gesetzgeber davon Gebrauch macht, mittelten Score-, bzw. Profilingwerte Daten rechtmäßig, wenn die Verarbei- kann zum jetzigen Zeitpunkt nicht ab- daher nicht gespeichert, ist zu befürch- tung für die Wahrnehmung einer Aufgabe schließend bewertet werden. ten, dass diese der betroffenen Person erforderlich ist, die im öffentlichen Inte- nicht mehr mitgeteilt werden. resse liegt oder in Ausübung hoheitlicher 2. Auskunfteienwesen Zur Konkretisierung der Auskunfts- Gewalt erfolgt, die dem für die Verarbei- pflichten sollte daher in einem nationa- tung Verantwortlichen übertragen wurde. Die spezifischen Sondervorschrif- len Gesetz klargestellt werden, dass die Diese Voraussetzungen werden im Hin- ten für Auskunfteien, die bisher in den Übermittlung der Score- bzw. Profiling- blick auf zahlreiche gesetzliche Regelun- §§ 28a ff. BDSG enthalten und von ei- werte zur Darlegung der Auswirkungen gen im Sozial- und Gesundheitsbereich nem breiten Konsens zwischen den Auf- des Profilings auf die betroffene Person bejaht werden können, z.B. im SGB. Die sichtsbehörden und den Auskunfteien erforderlich ist. Öffnungsklausel des Art. 6 Abs. 2 erlaubt getragen sind, fallen durch die DSGVO dem nationalen Gesetzgeber Konkretisie- vollständig weg. Dadurch ist die Rechts- 4. Datenschutz- rungen und Präzisierungen, jedoch keine sicherheit gefährdet und es droht eine Folgenabschätzung grundsätzlichen Änderungen der DS- erhebliche Ausweitung der von Auskunf- GVO. Soweit Gesundheitsdaten (Art. 4 teien gespeicherten, übermittelten und Mit der Durchführung einer Daten- Abs. 15) verarbeitet werden, ist besonders für Scoringzwecke genutzten Daten. schutz-Folgenabschätzung (Art. 35) Art. 9 zu beachten. Art. 9 Abs. 1 enthält ein Die von Auskunfteien genutzten Da- bei ggf. auch vorheriger Konsultation Verarbeitungsverbot für besondere Kate- ten sind wegen ihrer Entscheidungser- (Art. 36) soll ein hohes Risiko für die gorien personenbezogener Daten, d.h. heblichkeit im privaten Rechtsverkehr Rechte und Freiheiten der betroffenen Daten, die als besonders schützenswert in ganz besonderem Maße dazu geeig- Personen ausgeschlossen werden. bewertet werden. Gemäß Art. 9 Abs. 2 net, die Rechte von Betroffenen zu be- Notwendig ist eine fachliche Diskus- gibt es Ausnahmen von diesem Verarbei- einträchtigen. sion, was eine geforderten Datenschutz- tungsverbot. Als weitere Einschränkung Durch den Erhalt der Inhalte von Folgenabschätzung (Art. 35) und eine der Ausnahmen vom Verarbeitungsver- § 28a BDSG in einem nationalen Gesetz bisherige Vorabkontrolle gemäß § 4d bot sieht Art. 9 Abs. 3 vor, dass eine Da- sollten daher die Besonderheiten der Abs. 5 BDSG unterscheidet. Denn die tenverarbeitung zu den in Art. 9 Abs. 2 deutschen Auskunfteienlandschaft be- bisherige Vorabkontrolle ist an die Ver- genannten Zwecken nur dann zulässig rücksichtigt und die Rechte der Betrof- wendung der Art besonderer Daten ge- ist, wenn die datenverarbeitenden Perso- fenen gestärkt werden. koppelt (§ 3 BDSG Abs. 9). Eine Klassi- nen besonderen, auf nationalem oder eu- fizierung besonderer Daten in Art. 9 DS- ropäischem Recht basierenden, Geheim- 3. Auskunftspflichten GVO gibt es, die aber keine Erwähnung haltungspflichten unterliegen. in Art. 35 findet. Die Voraussetzungen des Art. 9 Abs. 2 Aus § 34 Abs. 2 Satz 1 Nr. 1 und § 34 Innerhalb der Datenschutz-Folgen- werden im Hinblick auf zahlreiche ge- Abs. 4 BDSG ergeben sich umfangrei- abschätzung ist in Absprache zwischen setzliche Regelungen im Gesundheitsbe- che Auskunftspflichten, die auf Score- Verantwortlichen und Aufsichtsbehör- reich bejaht werden können, z.B. im Hin- werte im Sinne des § 28b BDSG gerich- den ggf. zu klären, welche Maßnahmen blick auf das Infektionsschutzgesetz. Die tet sind. Macht eine betroffene Person zu ergreifen sind um datenschutzkonfor- Vorgaben des Art. 9 Abs. 3 werden durch ihre Auskunftsrechte geltend, kann sie me Verfahren mit der entsprechenden die in Deutschland vorhandenen Rege- die Auswirkungen des Scorings durch IT bereitzustellen. In den Erwägungs- lungen zur ärztlichen Schweigepflicht Erhalt von kürzlich übermittelten und gründen ist durch diverse Beispiele und zum Sozialgeheimnis erfüllt. aktuellen Scorewerten besonders gut konkretisiert, für welche Anwendungen Schließlich erlaubt Art. 9 Abs. 4 den einschätzen. Letztlich sind die Score- eine Datenschutz-Folgenabschätzung Mitgliedstaaten, weitere Bestimmungen, werte das Datum mit der höchsten Ent- erforderlich ist, wie optoelektronische einschließlich Beschränkungen zur Ver- scheidungsrelevanz. Zwar enthalten die Vorrichtungen (Erwägungsgrund 91). arbeitung genetischer Daten, biometri- Artt. 13 Abs. 2 lit. f), 14 Abs. 2 lit. g) Gleichzeitig fällt nur in Erwägungs- scher Daten oder Gesundheitsdaten, bei- und 15 Abs. 1 lit. h) DSGVO auf die au- grund 91 zur Realisierung von Maßnah- zubehalten oder einzuführen. Der natio- tomatisierte Entscheidungsfindung und men der gängige Begriff „nach Stand nale Gesetzgeber darf daher im Hinblick das Profiling gerichtete Auskunftspflich- der Technik“. Stattdessen sind Maßnah- auf die Verarbeitung besonderer Katego- ten, die auch die Tragweite und die an- men gemäß Art. 35 zu ergreifen, wenn rien personenbezogener Daten nicht nur gestrebten Auswirkungen dieser Verar- für die betrachteten Verfahren neue Konkretisierungen vornehmen, sondern beitung auf den Betroffenen umfassen. Technologien eingesetzt werden. Damit auch die sich aus der DSGVO ergeben- Diese sind jedoch nicht auf die kürzlich bleibt in großen Teilen unberücksichtigt, den Verarbeitungsbefugnisse beschrän- übermittelten und aktuellen Score-, bzw. dass mehrheitlich kleinere Änderungen ken. Im Erwägungsgrund 53 wird darauf Profilingwerte konkretisiert. Stattdessen in einer ingenieursmäßig betriebenen IT

DANA • Datenschutz Nachrichten 2/2016 76 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

schrittweise zu Verbesserungen führen, Die Benennung eines DSBs ist weiter- Abs. 7, 84 Abs. 1 und Erwägungsgrün- die irgendwann eine Veränderung eines hin vorgesehen. Die Regelungen hierzu den 150 sowie 152 öffnet die DSGVO Geschäftsbereichs bewirken können. sind in Artt. 37, 38 und 39 zu finden. dem nationalen Gesetzgeber Raum für Einige Kriterien zur Bewertung, ob zu Art. 37 differenziert zwischen den Fäl- den Erlass von Vorschriften. Der Bund ergreifende Maßnahmen geeignet sind, len, in denen auf jeden Fall ein DSB und die Länder können in ihrem Zu- finden sich z.B. in Art. 32 „Sicherheit zu benennen ist und denen, in denen es ständigkeitsbereich festlegen, ob und in in der Verarbeitung“, aber es gibt keine dem europäischen und den nationalen welchem Umfang gegen Behörden und Referenz in Art. 35 auf Art. 32. Gesetzgebern überlassen bleibt, Rege- öffentliche Stellen, die in dem betreffen- Der nationale Gesetzgeber ist aufge- lungen zu treffen. Nach Art. 37 Abs. 4 den Mitgliedstaat niedergelassen sind, fordert nutzbare Regelungen zu treffen, können ein Verantwortlicher oder der Geldbußen verhängt werden können. so dass zwischen anwendbaren Schutz- Auftragsverarbeiter oder Verbände und Es obliegt auch den Mitgliedstaaten, bedarfsklassen ein Bezug zum genann- andere Vereinigungen, die Kategorien Vorschriften über andere Sanktionen für ten hohen Risiko hergestellt werden von Verantwortlichen oder Auftragsver- Verstöße gegen die DSGVO festzulegen kann, insbesondere weil der Begriff des arbeitern vertreten, einen Datenschutz- und alle zur Anwendung erforderlichen hohen Risikos in der DSGVO nur un- beauftragten benennen, es sei denn ein Maßnahmen zu treffen. Die DSGVO zureichend festgelegt ist. Des Weiteren Mitgliedsstaat schreibt die Benennung gibt für diese Sanktionen in Erwägungs- ist eine Transformation in bewährte Be- ausdrücklich vor. Diese Öffnungsklau- grund 152 nur vor, dass sie wirksam, griffe von z.B. Zutritts-, Zugangs-, Zu- sel sollte der nationale Gesetzgeber in verhältnismäßig und abschreckend griffs- oder auch Dokumentationskont- jedem Fall nutzen. sein müssen. Die Anwendung des kar- rolle anzustoßen. Damit ist eine Lücke Der DSB darf wegen der Erfüllung tellrechtlichen Unternehmensbegriffs zwischen sehr konkreten, technischen seiner Aufgaben nicht abberufen oder erfordert eine nationale Anpassung im Beschreibungen aus den Erwägungs- benachteiligt werden (Art. 38 Abs. 3). Ordnungswidrigkeitenverfahren. gründen und den abstrakten Prinzipien Dieser Abberufungsschutz bleibt hin- zu schließen, damit diejenigen, die ent- ter den detaillierteren Regelungen im 7. Beschäftigtendatenschutz sprechende Realisierung in und mit der BDSG zurück, das ausdrücklich die IT zu verantworten haben, weiterhin Gründe für eine außerordentliche Kün- Spätestens mit der DSGVO ist der eine Anleitung erhalten, an der sie sich digung fordert. Hier sollte geprüft wer- nationale Gesetzgeber gefordert, ein orientieren können. den, ob der Gesetzgeber klärend tätig Beschäftigtendatenschutzgesetz zu werden kann. ver­ab­schieden (Art. 88 i.V.m. Erwä- 5. Betrieblicher Datenschutz­ gungsgrund 155). Mindestens sind §§ 3 beauftragter 6. Geldbußen und effektive Abs. 11, 32 BDSG beizubehalten. Sanktionen Die Verankerung des betrieblichen Datenschutzbeauftragten (DSB) in der Die DSGVO stärkt die Befugnisse DSGVO gelang erst im letzten Moment. der Aufsichtsbehörden. In den Artt. 83

Douwe Korff* Privacy seals in the new EU General Data Protection Regulation: Threat or facilitator? Part 2: What has it turned out to be?

1. The issues sion version, the version adopted by the seals, allowing them to “demonstrate European Parliament, and the Council compliance” by the seal-holder with the In DANA 3/2015, I compared the version. I noticed that while the Com- requirements for processors (also if the proposals for the use of data protection mission text “encouraged” the establish- seal-holder were to be a non-EU enti- seals in the different versions of the Ge- ment of data protection seal schemes, it ty) and similarly to “demonstrate” that neral Data Protection Regulation then added little detail, but that Parliament “appropriate safeguards” were in place under discussion: the original Commis- envisaged a significant role for such to allow the transfer of personal data

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 77 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

covered by a seal to take place without seal (“certification”) can be used as “an issuing of the seals, as proposed by the further checking by any data protection element by which to demonstrate” re- Council. authority. Clearly, such seals would be levant matters, i.e.: general compliance In that latter case, the certification very valuable, especially also in a trans- with the obligations imposed on a con- body must be accredited either by the national context, and to non-EU control- troller (Art. 24(3)); Privacy-by-Design relevant DPA or by a national accredi- lers and processors including “cloud” and -Default (Art. 25(3)); the existence tation body (or by both) (Art. 43(1)), on processors. of “sufficient guarantees” for processors the basis of criteria approved by the re- I warned that such a scheme could (Art. 28(5)); and compliance with data levant DPA (Art. 42(5)). Moreover, the only be acceptable if the seals were is- security requirements (Art. 32(3)). In all approving of the criteria to be applied in sued by data protection authorities and these cases, the phrase “an element by accrediting an “outsourced” certification if the decision to award a seal would which to demonstrate” must presumab- body is subject to the obtaining of an opi- therefore be subject to the “cooperati- ly be read as the creation of a rebuttable nion from the new European Data Pro- on-”, “mutual assistance-” and “con- presumption: seals can be used as part tection Board (Art. 64(1)(c)), and thus to sistency” mechanisms included in the of the evidence to show compliance in the consistency mechanism: DPAs must Regulation. That way, the proposed is- these regards – but they do not in and inform the other DPAs of the proposed suing of a seal by any one DPA could of themselves prove such compliance. criteria; they can then exchange views be challenged by any other DPA in the In these respects, therefore, data protec- on them and challenge them; and if no EU if the processing to be covered by tion seals are useful, but not conclusive agreement can be reached, the matter the seal would affect data subjects in of compliance. can be referred to the new European the other DPA’s Member State; and the However, in one context this is diffe- Data Protection Board, which will have seal would in such cases only be issued rent: in relation to transfers of personal the final say (Article 63ff.). Indeed, the if there was agreement that that would data to third countries without adequa- Board can in this way adopt certification be appropriate. If on the other hand seals te data protection. Such transfers are in criteria at the European level which can could be issued by entities other than principle prohibited, subject to a limited then (also) become the basis for cen- DPAs, to which the issuing of seals was number of exceptions, including where trally issued European Data Protection “outsourced” – as was proposed in the “appropriate safeguards” are provided Seals (Art. 42(5)). version of the Regulation adopted by the by the controller or processor (Art. 46). But until this is done, it would appear Council – then the issuing of seals might In the final text of the Regulation, this that such “outsourced” seals can in and not constitute a “measure” taken by a article stipulates that such appropriate by themselves constitute the basis for DPA, and might thus not be subject to safeguards “may be provided for” inter data transfers to third countries without the consistency mechanism. I wrote that alia by data protection. They can in effect be an if that road was followed, such “outsour- alternative to the Safe Harbor, or its con- ced” seal schemes would pose a serious an approved certification mechanism tentious proposed successor, the “EU- threat to the new EU data protection pursuant to Article 42 together with US Privacy Shield”, and to the use of framework, effectively creating a massi- binding and enforceable commitments standard or ad hoc data transfer contract ve loophole through which data could be of the controller or processor in the clauses. In my opinion, this should mean transferred to non-EU processors (inclu- third country to apply the appropriate that they should be subject to broad ove- ding “cloud” processors) and controllers safeguards, including as regards data rall EU-level control. in non-EU countries without adequate subjects‘ rights (Art. 46(2)(f)) data protection, without the DPAs being 3. Can seals be challenged? able to intervene in an effective manner. In other words, in this context the seals These matters were among the many are conclusive: they provide, in and by If any processing to be covered by a seal subject matters discussed in the “tri- themselves, the required safeguards. In- relates only to the activities of a controller logues” in which the final text of the deed, the article adds that certifications established in one Member States and if it Regulation was thrashed out between re- can achieve this “without requiring does not substantially affect (and is unli- presentatives of the Commission, Parlia- any specific authorisation from a su- kely to substantially affect) data subjects ment and the Council. So what does the pervisory authority” (leading sentence in any other Member State, the matter is final, now adopted text say on these is- to Article 46(2)). almost entirely left to the DPA or certifi- sues? As I shall show below, it amounts This threatens to create, in this most cation body in question, without involve- to a somewhat uneasy, ambiguous com- highly contentious area, the very danger ment of any other DPA (although if such promise. I warned of in DANA 3/2015, because seals were to be used to allow transfers of the final text also provides for the pos- data originating from other Member States 2. Privacy seals can be issued sibility suggested by the Council of data that would not be allowed directly from by “outsourced” certification protection seals (“certifications”) being those other Member States, the DPAs of bodies issued either by a data protection autho- those other Member States would probab- rity or by a separate “certification body” ly be able to demand action from the DPA The Regulation stipulates that in a (Art. 42(5)). In other words, Member in the Member State where the seal was number of respects a data protection States may decide to “outsource” the issued, even if this was “outsourced”).

DANA • Datenschutz Nachrichten 2/2016 78 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

However, if the processing to be co- with paragraph 3 of this Article, ex- if a DPA specifically informs the other vered by a seal involves: presses a relevant and reasoned ob- DPAs and the Board of such unopposed- jection to the draft decision, the lead ly-issued seals. Such informing can, I processing of personal data which supervisory authority shall, if it does believe, be seen as at least a tacit endor- takes place in the context of the acti- not follow the relevant and reasoned sement of the reported seal. vities of establishments in more than objection or is of the opinion it is not In any case, the duty to apply the “co- one Member State of a controller or relevant and reasoned, submit the operation-”, “mutual assistance-” and processor in the Union where the con- matter to the consistency mechanism “consistency mechanisms” are drafted troller or processor is established in … (Art. 60(4)) in broad terms, not necessarily limited more than one Member State – to cases of specific “decisions” or “mea- or if it involves: Under this mechanism, the European sures” or “complaints” and “investiga- processing of personal data which Data Protection Board must then adopt tions” (although they clearly focus on takes place in the context of the activi- a binding decision on the matter (Art. those). Thus, Article 60, which estab- ties of a single establishment of a con- 65(1)(a)). In other words, in such cases lishes the cooperation mechanism, can troller or processor in the Union but the Board will have the final say on whe- be read as applying to any matter invol- which substantially affects or is likely ther the proposed seal can be issued or ving a lead supervisory authority and to substantially affect data subjects in not. one or more other supervisory authori- more than one Member State – The issue is more complicated when ties concerned, i.e., to all cross-border seals are issued by “outsourced” certi- processing issues (cf. the absence of then the matter is regarded as “cross- fication bodies, because the issuing of any references to “decisions” in Article border processing” (Art. 4(23(a) and seals by such “outsourced” bodies does 60(1) and the very general reference in (b)). In that case, any decisions or mea- not, as such, constitute acts of the DPA Article 60(3) to “the matter” under con- sures relating to the processing, propo- in the Member State concerned. sideration). Mutual assistance also has sed or drafted by the relevant “lead su- However, the compromise text could the aim, quite generally, “to implement pervisory authority”, are subject to the still offer some ways of referring the and apply this Regulation in a consistent “cooperation-”, “mutual assistance-” matter to the new Board. manner” (Art. 61(1)). The fact that this and “consistency mechanisms” in the First of all, the final text of the Regu- mechanism applies “in particular [to] Regulation. lation contains a new power that must be information requests and supervisory If, in a particular Member State, the granted to DPAs, not envisaged in any measures” does not mean that it does DPA (or DPAs) are charged with issuing of the draft texts (and presumably aimed not also extend to the use of the power data protection seals, then clearly the is- at countering the very threat I noted in in Article 58(2)(h). And the consistency suing of such seals constitute the taking DANA 3/2015 of “outsourced” seals mechanism, as its name already makes of “decisions” or “measures” by such opening up loopholes in protection). clear, is also quite broadly aimed at DPAs. If a (proposed or draft) decision Article 58(2)(h) stipulates that all DPAs “contribut[ing] to the consistent appli- to issue a seal relates to such cross-bor- must be granted the power: cation of this Regulation throughout the der processing, and such a seal-issuing Union” (Art. 63). DPA is the “lead supervisory authority” to withdraw a certification or to order Arguably, therefore, in countries in in respect of it, then (because this is a the certification body to withdraw a which the issuing of data protection proposed or draft decision that relates to certification issued pursuant to Artic- seals is “outsourced”, the lead DPA cross-border processing) that DPA must les 42 and 43, or to order the certifi- must still inform other concerned DPAs inform the DPAs in any other Mem- cation body not to issue certification if of any seal that an “outsourced” certifi- ber State affected by the processing the requirements for the certification cation body wants to issue or has issued (Art. 60(1)); may ask them to assist in are not or are no longer met. (or better: of any seal application) rela- the evaluation and certification process ting to cross-border processing, even if (Art. 60(2)); and must in any case: Although it is oddly not spelled out in the lead DPA in question is not in direct the Regulation, it is implicit in the abo- charge of the seal issuing. That lead without delay, communicate the rele- ve, and in the duty of the EDPB to col- DPA must then also cooperate with the vant information on the matter to the late all seals issued (Article 43(6)), that other concerned DPAs on the question other supervisory authorities concer- “outsourced” certification bodies should of whether to exercise its power to pre- ned [and] without delay submit a draft at least inform their national DPA of any vent the issuing of the seal (or to order decision [here: on whether to award seals they issue (or intend to issue), and its withdrawal). And if the lead DPA re- the seal] to the other supervisory au- that those DPAs must then inform all fuses to do this, other DPAs should be thorities concerned for their opinion other DPAs and the EDPB of them. able to challenge the seal – technically: and take due account of their views. One could argue that a decision by a the refusal of the lead DPA to use the- (Art. 60(3)) DPA to not use this power should be re- se powers in respect of the seal – in the If any of those other authorities: garded as a decision subject to the “co- EDPB, which must have the final say. within a period of four weeks after operation-”, “mutual assistance-” and However, given the ambiguities in having been consulted in accordance “consistency mechanisms” – especially the text of the Regulation, this view can

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 79 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

only be tentative. luations and the preparation of the seals. “consistency mechanisms”. This could However, those would only be provisional be agreed, e.g., in the Article 29 Working 4. The solution seals: in order to come into effect, they Group pending the fully entering into would need to be endorsed by the rele- force of the Regulation, or by the EDPB Given that “outsourced” data protec- vant DPA – and that endorsement would as soon as it is established. tion seals that are not subject to the “co- constitute an act (decision, measure) of Without such clarification, the matter operation-”, “mutual assistance-” and that DPA and would thus be subject to the remains ambiguous and, in relation to “consistency mechanisms” can pose “cooperation-”, “mutual assistance-” and data protection seals, problematic. grave risks to the fundamental rights of “consistency mechanisms”. In the somewhat longer term, the esta- EU data subjects, it is important that the Alternatively, if some countries are blishment of a European Data Protection matters discussed above be clarified as a adamant that they want to fully and for- Seal for products or services involving matter of urgency. mally outsource the issuing of seals, they cross-border processing of personal The best option would, in my view, be should still accept that if they inform data, operating under the aegis of the to leave the final decision on whether to their fellow-DPAs in the other Member European Data Protection Board (rather issue a seal in all cases to the relevant DPA States and the EDPB of any shortly-to- than any individual DPA), would be the (in both purely domestic and cross-border be-issued “outsourced” seal that rela- better option still. cases). That would not stand in the way of tes to a product or service that involves outsourcing much of the “frontline” work. cross-border processing of personal data, * Douwe Korff is Emeritus Professor of The evaluation of the relevant product or this constitutes a decision by them not to International Law at London Metropolitan service could still be done by approved in- prevent the issuing of the seal or to or- University, Associate of the Oxford Martin School of the University of Oxford, and dependent experts; and bodies such as the der the withdrawal of the seal; and that Fellow at the Centre for Internet and Human certification bodies mentioned could still that (negative) decision is subject to the Rights of the European University of Viad- be tasked with the checking of those eva- “cooperation-”, “mutual assistance-” and rina, Frankfurt/O. and Berlin.

Peter Schaar Europäischer Datenschutz: Ende gut, alles gut?

Nachdem das Reformpaket die letzten fung der Sanktionen bei Datenschutzverstö- der Fall etwa beim Schutz von Gesundheits- Hürden genommen hat, müsste man eigent- ßen (Art. 83). Auch die Forderungen nach daten (Art. 9 Abs. 4 lit. a), beim Beschäftig- lich erleichtert aufatmen. Die Datenschutz- einer radikalen Aufweichung der Zweckbin- tendatenschutz (Art. 88) und dies gilt auch für Grundverordnung hat den Trilog von Rat, dung personenbezogener Daten blieben im die Regelungen zur obligatorischen Benen- Kommission und Parlament überraschend Ergebnis erfolglos ebenso wie der Versuch, nung betrieblicher Datenschutzbeauftragter gut überstanden. Auch die überzeugenden den Anwendungsbereich der europäischen (Art. 37). Andererseits ist zu befürchten, dass Voten im Europäischen Parlament und im Vorschriften drastisch einzuschränken. die nationalstaatlichen Regelungsspielräu- Rat waren ein deutliches Signal für die Hand- Die Europäische Union hat also die (recht- me auch dazu herhalten müssen, bestehende lungsfähigkeit Europas beim Datenschutz lichen) Herausforderungen an das Daten- Datenschutz-Schwachstellen beizubehalten – eine Handlungsfähigkeit, die man derzeit schutzrecht angenommen und Konflikte – etwa das deutsche Meldegesetz, das eine in anderen Bereichen, etwa der Flüchtlings- zunächst durchgestanden. Die EU-weite generelle Meldepflicht mit sehr freizügigen und Finanzpolitik, schmerzlich vermisst. Harmonisierung des Datenschutzrechts er- Übermittlungsmöglichkeiten ohne angemes- Wesentliche Elemente der von der Kom- folgt auf verhältnismäßig hohem Level und sene Zweckbindung kombiniert. Auch in mission angestoßenen Reform, die während schreibt nicht bloß einen kleinsten gemein- anderen Mitgliedstaaten gibt es solche frag- des mehr als vierjährigen Verhandlungs- samen Nenner fest. würdigen Bestimmungen, die so eine zweite marathons immer wieder in Frage gestellt Durchaus ambivalent ist es hingegen, dass Chance bekommen haben. worden waren, blieben erhalten oder wurden der Verordnungstext den Mitgliedstaaten er- Die Konferenz der Datenschutzbeauftragte sogar gegenüber dem Entwurfstext stärker hebliche Gestaltungsmöglichkeiten belässt. des Bundes und der Länder hat jüngst gefor- akzentuiert. Dies gilt etwa für die Ausdeh- Dies eröffnet den nationalen Gesetzgebern dert, die von der Datenschutz-Grundverord- nung des Anwendungsbereichs auf Anbie- zum einen die Chance, in bestimmten Berei- nung eingeräumten nationalen Spielräume ter elektronischer Dienste mit Sitz in einem chen über die in der Verordnung europaweit im Sinne eines möglichst hohen Datenschutz- Drittland („Marktortprinzip“, Art. 3 Abs. 3 festgeschriebenen Mindeststandards hinaus- niveaus zu nutzen. Wem an einem starken DS-GVO) oder die sehr deutliche Verschär- zugehen bzw. diese zu konkretisieren. Dies ist deutschen Datenschutz gelegen ist, der kann

DANA • Datenschutz Nachrichten 2/2016 80 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

diese Position nur unterstützen. Manche Äu- Anders als die bisherige Artikel-29-Gruppe klausel (Art. 37 Abs. 4) durchgesetzt, die das ßerungen von Regierungsvertretern, etwa wird der Europäische Datenschutzausschuss derzeitige deutsche Modell großenteils be- von Bundeswirtschaftsminister Gabriel und (Artt. 60-67) im Falle eines Dissenses zwi- wahren könnte – vorausgesetzt, eine entspre- Bundesverkehrsminister Dobrint gegen die schen Datenschutzbehörden entscheiden. chende deutsche Bestimmung wird rechtzeitig angeblich weltfremde und wirtschaftsfeindli- Dagegen bleibt es den Mitgliedstaaten über- – vor dem Inkrafttreten der DS-GVO in zwei che Maxime der „Datensparsamkeit“ lassen lassen, die jeweiligen Zuständigkeiten und die Jahren – beschlossen. Nimmt man die Absicht aber befürchten, dass in dieser Frage noch ein Außenvertretung der Datenschutzbehörden des Bundesinnenministeriums beim Wort, hartes Ringen bevorsteht. abzugrenzen, wenn – wie in Deutschland – zunächst nur das „Unabweisbare“ gesetzlich mehr als eine Datenschutzbehörde eingerich- neu zu regeln, dann würden die Regeln zum Neues Zwei-Phasen-Modell? tet wurde. betrieblichen Datenschutzbeauftragten nicht Eine Weile hatte man den Eindruck, Da- dazu gehören. Das Bundesinnenministerium hat inzwi- tenschutz sei aus Sicht der Politik ein gest- Beim Datenschutz im Beschäftigungs- schen angekündigt, die erforderlichen Ände- riges Thema, von dem man sich am besten verhältnis (Art. 88) stellt sich nicht nur die rungen des deutschen Rechts in einem Zwei- fern hält. Seit einiger Zeit hat sich der Wind Frage nach einem deutschen Beschäftigten- Phasen-Modell zu realisieren. In einem ersten aber gedreht: Niemand kann heute ernsthaft Datenschutzgesetz. Auch die Zukunft der Schritt sollen die unbedingt erforderlichen bestreiten, dass der Datenschutz eng mit der bisherigen Regelung des § 32 BDSG zum Gesetzesänderungen erfolgen; in einem zwei- Digitalisierung der gesamten Gesellschaft Umgang mit Beschäftigtendaten steht zur ten Schritt sollen dann weitere Anpassungen verbunden ist und dass mit der datenschutz- Disposition. Schon sind aus der Wirtschaft stattfinden. Zu der ersten Phase soll die Aus- rechtlichen Kompetenzverteilung auch darü- Warnungen zu vernehmen, hier einen „deut- gestaltung der Befugnisse der Datenschutz- ber entschieden wird, wer die Weichen in die schen Sonderweg“ einzuschlagen. Es ist lei- aufsichtsbehörden und die Einpassung ihrer Informationsgesellschaft stellt. der zu befürchten, dass derartige Meinungs- Sanktionsbefugnisse ins deutsche Rechtssys- Das Bundesinnenministerium scheint da- äußerungen in der Politik nicht ohne Wirkung tem gehören (Artt. 51-59), auch im Hinblick von auszugehen, dass die allermeisten da- bleiben werden. Angeblich soll es zwischen auf den Rechtsschutz der Betroffenen und die tenschutzrechtlichen Spezialgesetze zunächst den Regierungsfraktionen der CDU/CSU und gerichtliche Überprüfung der Aufsichtsmaß- nicht geändert werden müssen. Ich halte diese der SPD schon verabredet zu sein, in dieser nahmen. Unbedingt erforderlich ist es auch, Position für risikoreich: Zwar ist es richtig, Legislaturperiode auf ein Beschäftigtendaten- die Zusammenarbeit der deutschen Daten- dass die Grundverordnung für bestimmte Fel- schutzgesetz zu verzichten - ein klarer Bruch schutzbehörden und die Außenvertretung des der, insbesondere im Bereich der staatlichen der Zusagen aus dem Koalitionsvertrag. deutschen Datenschutzes im neu einzurich- Datenverarbeitung, weiterhin Regelungs- tenden Europäischen Datenschutzausschuss spielräume enthält. Anderseits muss auch in zu klären. Die Gesetzgebungskompetenz für diesen Bereichen die Einhaltung der europä- derartige Zuständigkeitsfragen liegt jedoch ischen Standards gewährleistet sein. Dies gilt nicht ausschließlich beim Bund. Vielmehr zum Beispiel für das Sozialrecht: So sind im muss hier eine gemeinsame Rechtsvorschrift zehnten Buch des Sozialgesetzbuchs (SGB X) von Bund und Ländern erlassen werden, etwa die derzeitigen Regelungen des Bundesdaten- in Form eines noch auszuhandelnden Staats- schutzgesetzes praktisch gedoppelt - etwa im vertrags. Schließlich gehört noch die Ausge- Hinblick auf die Anforderungen an die Auf- staltung des Verhältnisses von Datenschutz tragsdatenverarbeitung. Es ist kaum vorstell- einerseits und der Freiheit der Meinungsäu- bar, dass diese unverändert Bestand haben ßerung und Informationsfreiheit andererseits können, ohne bei den Rechtsanwendern zu (Art. 85 DS-GVO) zum Pflichtprogramm. unlösbaren Konflikten zu führen. Vergleich- Das vom Bundesinnenministerium ange- bare Konstellationen gibt es auch in vielen kündigte Phasenmodell löst bei mir negative anderen Bereichen. Assoziationen aus, erinnert es doch an die im Jahr 2000 ebenfalls in zwei Phasen ange- Betrieblichen Datenschutz und kündigte grundlegende Modernisierung des Beschäftigtendatenschutz nicht deutschen Datenschutzrechts: Nahezu sämt- auf lange Bank schieben liche angekündigten, etwas ambitionierten Welche Forderungen haben Änderungen blieben dabei auf der Strecke, Besonders intensiv waren die Diskussi- Daten­schützer an die EU-DSGVO vor Abschluss der Verhand­ denn die versprochene zweite Phase hat es onen vor der Verabschiedung der Daten- lungen gestellt? nie gegeben. Auch damals saßen die Erfinder schutzgrundverordnung über die betriebli- Das Heft 3/2015 mit den im Bundesinnenministerium. chen Datenschutzbeauftragten und über den geforder­ten roten Linien zum Beschäftigtendatenschutz. In beiden Berei- freien Download: Kompetenzfragen als chen haben die Mitgliedsstaaten weiterhin Machtfragen Gestaltungsspielraum. https://www.datenschutzverein.de/ Bei den betrieblichen Datenschutzbeauf- wp-content/uploads/2015/08/ DANA_3-2015_RoteLinien_ Bekanntlich gehören Kompetenzfragen zu tragten hatte die Bundesregierung in letzter Web.pdf den am schwierigsten zu lösenden Problemen. Sekunde im Trilog eine nationale Öffnungs-

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 81 Rote Linien zur EU-DSGVO – Was ist daraus geworden? vzbv – Florian Glatzner Datenschutz in Europa: Die roten Linien des vzbv zur europäischen Datenschutz-Grundverordnung – revisited

Nach mehr als vier Jahren Verhand- durchsetzen, nach der eine Datenverar- 3. Änderung des Verarbeitungs- lungen ist die Datenschutz-Grundver- beitung lediglich „nicht exzessiv“ erfol- zwecks ordnung der Europäischen Union end- gen sollte, was zu einer deutlichen Ab- lich beschlossen. Insgesamt ist der fi- senkung des Datenschutzes geführt hät- Die Änderung des Verarbeitungs- nale Gesetzestext aus Verbrauchersicht te. Dementsprechend begrüßt der vzbv zwecks ist nur erlaubt, wenn der ur- besser ausgefallen, als man es während die nun verabschiedete Regelung. sprüngliche Zweck mit dem neuen be- der Verhandlungen befürchten musste. ziehungsweise veränderten Zweck kom- Trotz Lobbyarbeit bisher unbekannten patibel ist. Die Kriterien, die für diese 2. „Berechtigtes Interesse“ der Ausmaßes von europäischen und US- Prüfung herangezogen werden müssen, amerikanischen Wirtschaftsverbänden datenverarbeitenden Stelle sind die Verbindung zwischen den Ver- wurden die Vorschläge der EU-Kom- arbeitungszwecken, der Zusammenhang mission und des Europäischen Parla- Das berechtigte Interesse eines Un- der Datenerhebung (insbesondere das ments nicht völlig verwässert. Den- ternehmens oder eines Dritten kann Verhältnis zwischen dem Unternehmen noch enthält die Verordnung auch viele Rechtsgrundlage für eine Verarbeitung und dem Verbraucher), die Art der Daten schwache Regelungen, die teilweise zu von personenbezogenen Daten sein, so- (sind es sensible Daten?), die Folgen für einer Absenkung des bisherigen Daten- fern Interessen des Verbrauchers nicht den Verbraucher sowie Sicherheitsmaß- schutzniveaus führen könnten, wenn überwiegen und seine vernünftigen Er- nahmen (werden die Daten pseudony- die Mitgliedsstaaten dies nicht über die wartungen, die auf seinem Verhältnis misiert oder verschlüsselt?). Ausgestaltung ihrer Spielräume verhin- zum Unternehmen beruhen, erfüllt wer- Eine Zweckänderung soll aber auch zu dern. den. Dies kann zum Beispiel der Fall unvereinbaren Zwecken möglich sein, Im Sommer 2015 hatte der Verbrau- sein, wenn die betroffene Person ein wenn der Verbraucher einwilligt. Eine cherzentrale Bundesverband (vzbv) unter Kunde des Unternehmens ist. Weiterverarbeitung soll ferner stets „für anderem in der DANA 3/2015 rote Lini- Als kritisch wertet der vzbv hier, dass im öffentlichen Interesse liegende Ar- en definiert, hinter die die Datenschutz- „Direktmarketing“ unter Umständen chivzwecke, für wissenschaftliche oder Grundverordnung nicht zurückfallen dür- ein berechtigtes Interesse sein kann, für historische Forschungszwecke oder für fe. Dies betraf besonders die umstrittenen das somit keine Einwilligung notwen- statistische Zwecke“ erlaubt sein. Punkte der „Datensparsamkeit“, des dig wäre. Stammen Daten – auch sen- Problematisch aus Sicht des vzbv ist, „berechtigten Interesses der datenver- sible persönliche Daten – aus öffentlich dass die Kriterien für die Zweckände- arbeitenden Stelle“, der „Änderung des zugänglichen Quellen, so dürfen diese rung recht unbestimmt sind und erst Verarbeitungszwecks“ sowie der „Profil- auch auf Grundlage des berechtigten In- noch in der Praxis ihre Wirksamkeit be- bildung“. Auf was hat man sich in diesen teresses verarbeitet werden. weisen müssen. Außerdem könnte sich Bereichen nun geeinigt? Insgesamt ist diese Vorschrift noch aus- insbesondere der letzte Punkt zu einem legungsbedürftig, besonders hinsichtlich Einfallstor für unlautere Praktiken ent- des neuen Konstrukts der „vernünftigen wickeln: Unter dem Deckmantel der 1. Datensparsamkeit Erwartungen des Verbrauchers“ – was zu Forschung und Statistik könnten zum Eine Datenverarbeitung darf nur in Missbrauch führen könnte. Beispiel soziale Netzwerke möglicher- dem Umfang erfolgen, der notwendig Positiv hervorzuheben ist, dass der weise Experimente zur Beeinflussung ist, um den angestrebten Zweck zu er- Verbraucher bei der Verarbeitung seiner der Stimmung ihrer Nutzer oder Such- füllen. Insbesondere soll der Zeitraum Daten auf Grundlage eines berechtigten maschinen statistische Analysen zu der Datenspeicherung minimiert wer- Interesses ein Widerspruchsrecht hat – Werbezwecken durchführen. den, beispielsweise durch Lösch- und das gilt auch, falls auf Grundlage eines Insgesamt ist der Abschnitt zur Anonymisierungsfristen oder regelmä- berechtigten Interesses zur Profilbildung Zweckänderung jedoch besser ausgefal- ßige Überprüfungen, ob die Daten noch kommt. Legt der Verbraucher Wider- len, als die Position der Mitgliedstaaten notwendig sind. spruch ein, muss das Unternehmen dar- es hatte erwarten lassen, da grundsätz- Hier konnte sich der Rat der Europäi- legen, warum sein Interesse gegenüber lich eine Zweckänderung nur bei einer schen Union nicht mit seiner Forderung dem des Verbrauchers überwiegt. Vereinbarkeit der Zwecke und nicht

DANA • Datenschutz Nachrichten 2/2016 82 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

auch bei inkompatiblen Zwecken mög- aufgrund von Rasse, ethnischer Her- schutzniveau im Bereich des (Kredit-) lich ist. kunft, politischer Meinung, Religion Scorings allein durch die Datenschutz- oder Weltanschauung, Gewerkschafts- Grundverordnung nicht beibehalten zugehörigkeit, genetischer Anlagen wird. Sollte die Bundesregierung dem 4. Profilbildung oder Gesundheitszustand sowie sexu- nicht noch in dieser Legislaturperiode Der Verbraucher hat das Recht, keiner eller Orientierung zu verhindern. Diese entgegen wirken, würde dies erneut zu automatisierten Einzelfallentscheidung Ergänzung findet sich allerdings nur in jahrelangen Rechtsunsicherheiten für (Profilbildung) zu unterliegen, die recht- den Erwägungsgründen der Verordnung, Verbraucher und Unternehmen führen, liche Wirkung entfaltet oder ihn signifi- was sie wiederum schwächt. die gerade erst im Jahr 2009 durch die kant beeinträchtigt – es sei denn, es gibt Insgesamt befürchtet der vzbv an Novelle des Bundesdatenschutzgesetz- eine gesetzliche Erlaubnis oder sie ist dieser Stelle eine Absenkung des Ver- tes ausgeräumt wurden. für die Erfüllung eines Vertrags notwen- braucherschutzes im Vergleich zum Daher sollte die Bundesregierung die dig oder der Verbraucher hat explizit deutschen Status Quo. Bisher war etwa Möglichkeiten der in der Verordnung eingewilligt. Kreditscoring alleine auf der Grundla- vorgesehenen Öffnungsklauseln konse- Die Bildung von Profilen als solche ge von Adressdaten nicht erlaubt – was quent ausschöpfen sowie alle weiteren – und nicht nur die reine Entscheidung, sich nun ändern könnte. Auch wäre es rechtlichen Spielräume ausnutzen, um die rechtliche Wirkung entfaltet oder künftig möglich, dass auch bestrittene das deutsche Datenschutzniveau im Be- Verbraucher signifikant beeinträchtigt Forderungen an Auskunfteien gemeldet reich des (Kredit-)Scorings zu erhalten. – unterliegt keinem gesonderten Schutz werden. Dies könnte dazu führen, dass Insbesondere sollte auch geprüft wer- und wird nur als eine „normale“ Daten- Verbraucher nur aus Angst vor den ne- den, ob bestimmte Regelungsinhalte verarbeitung angesehen. gativen Auswirkungen eines schlechten des Bundesdatenschutzgesetzes, wie die Der Verbraucher hat zwar ein Recht Scorewertes gegenüber Forderungsge- Bestimmungen des § 28b BDSG, in an- auf menschliche Intervention, Erklärung bern einlenken und die Forderung ak- dere Gesetze mitaufgenommen werden und Anfechtung der Entscheidung – in zeptieren. können. Denkbar wären beispielswei- der Praxis dürfte das aber nur eine un- In der Vergangenheit hatte die Bun- se Regelungen im Zivil-, Vertrags- und tergeordnete Rolle spielen. desregierung stets betont, dass der be- Versicherungsrecht sowie im Kreditwe- Die Verordnung schreibt vor, dass stehende deutsche Datenschutzstandard sengesetz, die festlegen, unter welchen Unternehmen geeignete mathematische durch die Datenschutz-Grundverord- Umständen Scorewerte verwendet wer- oder statistische Methoden verwenden nung nicht abgesenkt werden dürfe. Die den dürfen, und die Vorgaben zur Siche- und Maßnahmen treffen sollen, um Feh- Beispiele zeigen jedoch, dass das bishe- rung der Datenqualität machen. ler zu minimieren und Diskriminierung rige deutsche Daten- und Verbraucher-

online zu bestellen unter: www.datenschutzverein.de/dana

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 83 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Werner Hülsmann Gestaltungsspielräume für die Nationalstaaten und Planungen des Bundesministeriums des Inneren Regelungsräume – aber keine Öffnungsklausen

Thomas Zerdick, stellv. Leiter des in Deutschland inzwischen im Ver- Verarbeitung zu journalistischen Zwe- Referat C.3 Schutz personenbezoge- bandsklagerecht eingefügt cken und zu wissenschaftlichen, künst- ner Daten der Generaldirektion Justiz • Art. 83: Ermöglicht es den Mitglied- lerischen oder literarischen Zwecken, und Verbraucher in der Europäische staaten Bußgelder für Datenschutz- in Einklang“ bringen Kommission, stellte am 09. Juni 2016 verstöße durch öffentliche Stellen anlässlich einer Veranstaltung der Eu- festzulegen Fahrplan der EU-Kommission ropäischen Akademie für Informati- • Art. 88: Beschäftigtendatenschutz: onsfreiheit und Datenschutz (EAID) Die Mitgliedstaaten können spezi- In den nächsten zwei Jahren will klar: „Es gibt keine ‚Öffnungsklau- elle, konkretisierende Regelungen sich die EU-Kommission laut Zerdick seln‘, sondern ‚Konkretisierungsklau- erlassen, diese dürfen aber nicht informieren, Kontakte zu Verbänden seln‘, die ‚Einräumung von Optionen‘, gegen die DSGVO verstoßen, auch aufnehmen sowie die Umsetzung der ‚Ausnahmevorschriften‘ und ‚Rege- Betriebsvereinbarungen und Tarif- EU-Datenschutzrichtlinie für Polizei lungsaufträge‘ also ‚Regelungsräu- verträge mit Regelungen zum Be- und Justiz begleiten. Am 28./29. Juli me‘“. Diese Regelungsräume können schäftigtendatenschutz sind weiter- 2016 findet eine gemeinsame Veran- – und müssen zum Teil – von den hin möglich staltung mit der Art. 29 Gruppe zur Mitgliedstaaten genutzt werden. Das Auslegung und Umsetzung der DS- Inkrafttreten der Datenschutzgrund- Zu den Bereichen, in denen Ausnahme- GVO statt. Darüber hinaus ist auch verordnung am 25. Mai 2016 führte regelungen möglich sind, gehören: eine Anpassung von EU-Recht an laut Zerdick dazu, dass die Mitglied- • Art. 21: Widerspruchsrecht die DSGVO erforderlich. So soll u.a. staaten keine rechtlichen Regelungen • Art. 89: Garantien und Ausnahmen in die E-Privacy-Richtlinie überarbeitet mehr erlassen dürfen, die gegen diese Bezug auf die Verarbeitung zu im werden. Eine Überarbeitung der EU- Verordnung verstoßen. öffentlichen Interesse liegenden Ar- Richtlinie zum elektronischen Ge- Zu den Konkretisierungsklauseln chivzwecken, zu wissenschaftlichen schäftsverkehr sei nicht erforderlich, gehört Art. 6 Abs. 1 Buchstaben c und e. oder historischen Forschungszwecken da die DSGVO vollumfänglich im und zu statistischen Zwecken, Absätze elektronischen Geschäftsverkehr gilt Optionen werden den Mitgliedstaaten 2 und 3 ermöglichen es Mitgliedstaaten, und diese Richtlinie daher zum 25. eingeräumt durch Regelungen für den Bereich der wissen- Mai 2018 überflüssig werde. • EWG 27: Mitgliedstaaten können schaftlichen und historischen Forschung Auf Nachfrage erläuterte Zerdick, dass Regelungen zu Daten von Verstor- sowie zu Archivzwecken zu schaffen die EU-Kommission die Durchführungs- benen festlegen, wie es sie derzeit und delegierten Rechtsakte als Mög- in Deutschland im Sozialgesetzbuch Regelungsaufträge an die Mitglied- lichkeit für die Kommission aber nicht (SGB) gibt staaten sind als Verpflichtung ansehe und daher erst • Art. 8 – Bedingungen für die Ein- • Kapitel VI: Die Mitgliedstaaten müs- einmal abwarten werde, was die Daten- willigung eines Kindes in Bezug sen konkrete Regelungen zu den Da- schutzaufsichtsbehörden und der EU-Da- auf Dienste der Informationsgesell- tenschutzaufsichtsbehörden festlegen tenschutzausschuss an Vorgaben erarbeite. schaft: Mitgliedstaaten können die • Art. 84: Sanktionen: Die Mitgliedstaa- Nach Ansicht von Zerdick seien Loka- Altersgrenze bis auf 13 Jahre herun- ten sollen festlegen, ob und wenn ja, liserungsvorschriften, wie sie beispiels- terfahren für welche Datenschutzverstöße z.B. weise z.Zt. im SGB bestehen, mit dem • Art. 37 Abs. 4: Mitgliedstaaten kön- Straftatbestände geschaffen werden Wirksamwerden der EU-Richtlinie nicht nen Regelungen zur Verpflichtung zur • Art. 85 Verarbeitung und Freiheit der mehr zulässig. Diese Auffassung wurde Bestellung von betrieblichen Daten- Meinungsäußerung und Informations- allerdings von anwesenden ehemaligen schutzbeauftragten erlassen freiheit: Hier sollen Mitgliedstaaten Bundes- und Landesdatenschutzbeauf- • Art. 80 – Vertretung von betroffenen Regelungen schaffen, die „das Recht tragten kritisch gesehen, da dann eine Personen: Mitgliedstaaten können auf den Schutz personenbezogener Da- Beschränkung der Verarbeitung der sehr Regelungen zum Klagerecht von Ver- ten gemäß dieser Verordnung mit dem sensiblen Sozialdaten auf Dienstleis- einen bei Datenschutzverstößen erlas- Recht auf freie Meinungsäußerung und ter mit Sitz in Deutschland nicht mehr sen oder beibehalten. Ein solches ist Informationsfreiheit, einschließlich der möglich wäre.

DANA • Datenschutz Nachrichten 2/2016 84 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Planungen des Bundesministe­ verpflichtend sein soll, deutlich erhöht werden drei Ideen zum Erhalt der Re- riums des Inneren sehen wollen. gelungen des § 28a BDSG erörtert: Kapitel 2 a) Nutzung von Art. 6 Abs. 4 i.V.m. Das Bundesministerium des Inneren Hier soll durch Nutzung von Art. 22 Art. 23 Abs. 1, b) es handelt sich hier- plant die Umsetzung der Regelungsräu- Abs. 2 Buchstabe b die Regelung aus bei gar nicht um Datenschutzrecht, me in zwei Paketen. Das eine Paket mit § 6a BDSG erhalten bleiben, dass au- sondern um Gewerberecht oder c) den Regelungen, die zum einen nach der tomatisierte Einzelentscheidungen auch „öffentliches Interesse“. Eine kon- DSGVO erforderlich sind und zum an- dann zulässig sein sollen, wenn sie Vor- krete Begründung, warum dieser Re- deren wünschenswert und politisch ein- teile für den Betroffenen bringen. gelung im öffentlichen Interesse sei, fach umsetzbar sind, soll noch bis zum Kapitel 3: Rechte der Betroffen konnte Herr Peickenpasch leider noch Frühjahr 2017, also vor dem Bundes- Hier sollen nach Auffassung des BMI nicht angeben. tagswahlkampf im nächsten Jahr, ver- die Möglichkeiten des Art. 23 Beschrän- • Datenverarbeitung der Berufsgeheim- abschiedet werden. Der Zeitplan ist eng, kungen genutzt werden. nisträger, hier argumentiert das BMI, da auch die Bundesländer – insbesonde- Kapitel 4: Aufsichtsbehörden dass ein uneingeschränktes Aus- re wegen den zu treffenden Regelungen Hier sind auf Bundesebene Regelun- kunftsrecht dazu führen könne, dass zu den Datenschutzaufsichtsbehörden gen zur Wahl und Rechtstellung des/ Berufsgeheimnisträger ihr Berufsge- – beteiligt werden müssen. Ein erster der Bundesbeauftragten für den Daten- heimnis gegenüber Mandaten verlet- Referentenentwurf soll vorliegen, die schutz und die Informationsfreiheit zu zen müssten. Auch das Recht der Da- Ressortabstimmung bereits begonnen treffen. Weiterhin soll das Recht der tenschutzaufsichtsbehörden, jederzeit haben. Bei Redaktionsschluss lag der Aufsichtsbehörden auf Klagebefugnis in alles Einsicht zu nehmen, müsse bei Entwurf allerdings noch nicht öffentlich gegen Angemessenheitsbeschlüsse der Berufsgeheimnisträgern aus diesem vor. Das zweite Paket ist erst für die Zeit EU-Kommission eingeführt werden. Grund eingeschränkt werden. Dies nach der Bundestagswahl vorgesehen. Kapitel 5: Zusammenarbeit und Ko- wird allerdings von Datenschutzver- Ob – und wenn ja, wann – es kommt ist härenz bänden und Aufsichtsbehörden kri- daher derzeit noch nicht vorhersehbar. Als zentrale Anlaufstelle soll die BfDI tisch gesehen! eingerichtet werden. Zur Vertretung im Kapitel 7 Schadenersatz, Bußgeld- Paket 1 EU-Datenschutzausschuss stellt sich die vorschriften und Strafvorschriften Jörg Eickelpasch, Referat V II 4 – Da- Frage, wer dies überhaupt regeln darf. In diesem Kapitel sollen Regelungen tenschutzrecht beim Bundesministerium Es wird derzeit nach einer einvernehm- zum Schadenersatz, konkretisierende des Innern (BMI) führte bei der EAID- lichen Lösung zwischen Bund, Ländern Regelungen zu Bußgeldvorschriften, Veranstaltung die Pläne der Bundes- und Datenschutzaufsichtsbehörden ge- soweit diese nach der DSGVO zulässig regierung, insbesondere die des BMI, sucht. Ebenfalls sind Regelungen zur sind, und zu Strafvorschriften, soweit aus. Geplant ist ein Artikelgesetz (als federführenden Aufsichtsbehörde zu solche erforderlich sind, enthalten sein. Arbeitstitel hierfür wurde schon mal treffen. „BDSG-Ablösegesetz“ genannt). Darin Kapitel 6: Besondere Datenverarbei- Paket 2 soll ein Artikel das derzeitige Bundesda- tungen Da das zweite Paket frühestens nach tenschutzgesetz zum 25. Mai 2018 auf- Dieses Kapitel soll insbesondere ent- der 2017 stattfindenden Bundestagswahl heben. Mit einem weiteren Artikel soll halten: kommen wird, gäbe es derzeit noch keine ein neues Datenschutzgesetz geschaffen • Auf Basis von Art. 85 Regelung zur konkreten Pläne hierzu, sondern nur erste werden, das sich von seiner Struktur her Deutschen Welle Gedanken. So sei grundsätzlich vorstell- an der DSGVO orientieren wird. Das • Regelungen zum Beschäftigtendaten- bar, dass ein ausführlicheres Beschäftig- neue Datenschutzgesetz soll laut Eickel- schutz, gedacht ist an eine Übernahme tendatenschutzgesetz in einem solchen pasch die folgenden Elemente enthalten. von § 32 BDSG (vgl. Art. 88) zweiten Paket enthalten sein wird. Kapitel 1 - Allgemeine Vorschriften • Datenverarbeitung zu privilegier- Das BDSG gilt auch für Bereiche, ten Zwecken (wissenschaftliche Fazit für die die DSGVO nicht gilt, z.B. für Forschung, Statistik, Archive, vgl. Strafverfahren, daher bedarf es Rege- Art. 89) Die bisherigen Überlegungen im Bun- lungen zur Anwendbarkeit des neuen • Regelungen zur Datenverarbeitung desministerium des Inneren und Aussa- Gesetzes. Die Bestellpflicht von Da- von Auskunftdateien. Dabei soll ver- gen anderer Ressorts zeigen, dass es äu- tenschutzbeauftragten soll auch hier zu sucht werden die Regelungen des bis- ßert wichtig ist, das Gesetzgebungsver- finden sein. Dabei sollen die bisherigen herigen § 28a BDSG zu erhalten. Dies fahren kritisch zu begleiten. Aus diesem Regelungen aus dem § 4f BDSG be- wird von der Wirtschaft, den Verbrau- Grund haben Digitalcourage und die züglich der Verpflichtung zur Bestel- cherschutzverbänden und der Mehr- Deutsche Vereinigung für Datenschutz lung erhalten bleiben. Leider gibt es heit der Datenschutzaufsichtsbehör- ein Positionspapier zur Ausgestaltung Stimmen aus dem Bundesministerium den gewünscht. Falls dies nicht mög- der Europäischen Datenschutzgrundver- der Wirtschaft, die zumindest die An- lich sein sollte, wäre hier die DSGVO ordnung erstellt. Mit diesem treten sie zahl der Personen, ab der eine Bestel- anzuwenden, das würde allerdings zu insbesondere mit dem Bundesministeri- lung eines Datenschutzbeauftragten Rechtsunsicherheit führen. Derzeit um für Inneres in den Dialog.

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 85 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Digitalcourage & Deutsche Vereinigung für Datenschutz (DVD) Position zur Ausgestaltung der Europäischen Datenschutzgrundverordnung

Einführung Artikel sieben und acht der EU-Grund- gungen einschränken. Digitalcourage rechtecharta die Richtung für die Ausge- und DVD fordern: Keine Ausnahmen Ab 25. Mai 2018 wird mit dem Wirk- staltung der Europäischen Datenschutz- und Einschränkungen von Betroffenen- samwerden der am 25. Mai 2016 in Kraft grundverordnung vor: das Recht auf rechten über das bisher in Deutschland getretenen Europäischen Datenschutz- Schutz personenbezogener Daten und bestehende Maß hinaus. Die Grundver- Grundverordnung (DSGVO) das bisher das Recht auf Achtung des Privatlebens ordnung verlangt bei Einschränkungen geltende nationale Datenschutzrecht und der Kommunikation. von Betroffenenrechten, etwa auf Grund weitgehend unwirksam. Sie wird den Das bestehende deutsche Daten- der nationalen oder öffentlichen Sicher- Datenschutz für die Verarbeitung per- schutzniveau darf nicht abgeschwächt heit oder auf Grund von Kontroll-, Über- sönlicher Daten in allen Ländern der EU werden. Digitalcourage und DVD for- wachungs- und Ordnungsfunktionen, die unmittelbar und weitgehend einheitlich dern deshalb Bundes- und Landesge- Achtung des Wesensgehaltes der Grund- regeln. Die Verordnung enthält zahlrei- setzgeber auf, die nationalen Spielräume rechte und Grundfreiheiten einer demo- che Konkretisierungsklauseln, die Mit- konkret wie folgt zu nutzen: kratischen Gesellschaft. gliedsländer teilweise nutzen müssen, – Pflicht zum Hinweisen auf Be- teilweise nutzen können, um ergänzende Forderungen zur Nutzung der troffenenrechte: Betroffene können nationale Datenschutzgesetze zu verab- Konkretisierungsklauseln ihre Rechte nur dann nutzen, wenn sie schieden. Unter diesen Klauseln können davon Kenntnis haben. Weil sich die elementare Fragen des Datenschutzes – Scoring, automatisierte Einzel- Komplexität von Datenverarbeitung von beantwortet werden, zum Beispiel zum fallentscheidungen und Profilbil- Betroffenen ohne deutliche, wiederholte Beschäftigtendatenschutz, zur Verarbei- dung: Artikel 22 der Grundverordnung und verständliche Hinweise durch Verar- tung von Gesundheitsdaten, zur Daten- schützt Betroffene vor automatisierten beiter nicht mit hinreichender Sicherheit nutzung für Forschungszwecke, zum Einzelfall­entscheidungen inklusive Sco- überschauen lässt, wie es das Bundesver- Kreditscoring, zur Beschränkung der ring und Profiling, wenn diese Datenver- fassungsgericht verlangt, fordern Digi- Rechte von Betroffenen oder zur Bin- arbeitung rechtliche Wirkung entfaltet talcourage und DVD die Hinweispflich- dung der Datenverarbeitung an bestimm- oder die Betroffenen durch die Verar- ten auf Betroffenenrechte zu erweitern. te Zwecke. beitung ähnlich beeinträchtigt werden. (Konkretisierungsklausel für Aufgaben Digitalcourage und DVD plädieren Eine Handlungsoption ermöglicht den im öffentlichen Interesse: Artikel 6 Ab- dafür, dass Deutschland bei der Ausge- Mitgliedstaaten weitere Ausnahmen satz 2, Sätze 4 und 5) staltung der Europäischen Datenschutz- vom grundsätzlichen Verbot in Absatz 1 – Informationspflichten: Mitglied- Grundverordnung eine Vorbildrolle für zu regeln. Digitalcourage und DVD for- staaten können nach Artikel 14 Absatz 5 den Schutz von persönlichen Daten ein- dern: Keine weiteren nationalen Ausnah- der Verordnung Ausnahmen von den In- nimmt. Die Konkretisierungsklauseln men für das Verbot von automatisierten formationspflichten regeln. Digitalcou- müssen im Sinne der zentralen Grund- Einzelfallentscheidungen sowie Erhalt rage und DVD fordern, abgesehen von sätze der Datenschutzgrundverordnung des bestehenden deutschen Datenschutz- der Sondersituation bei Berufsgeheim- in Artikel 5 genutzt werden. niveaus bei Auskunfteien und Scoring. nisträgern, keine Ausnahmen von den Die deutsche Konkretisierung, Ausge- (siehe Position des Verbraucherzentra- Informationspflichten vorzusehen. staltung und Interpretation der Europä- le Bundesverband e.V.; betrifft: § 28a – Datenschutz bei Berufsgeheim- ischen Datenschutz-Grundverordnung BDSG, § 28b BDSG, § 34 (Abs. 2-5 u. nisträgern: Artikel 9 verbietet, unter muss sich an den ersten beiden Artikeln 8) BDSG sowie § 35 (Abs. 2) BDSG) weit formulierten Ausnahmen, die Ver- des Grundgesetzes orientieren, aus denen – Betroffenenrechte: Kapitel III der arbeitung von besonders sensiblen per- das Allgemeine Persönlichkeitsrecht, das Verordnung gibt Betroffenen unter ande- sonenbezogenen Daten. Darunter fallen Recht auf Privatsphäre, das Recht auf in- rem das Recht auf Löschung von Daten „Daten, aus denen die rassische und eth- formationelle Selbstbestimmung sowie (Artikel 17), das Recht auf Auskunft (Ar- nische Herkunft, politische Meinungen, das Recht auf Gewährleistung der Ver- tikel 15) und das Recht auf Datenüber- religiöse oder weltanschauliche Über- traulichkeit und Integrität informations- tragbarkeit (Artikel 20). Nach Artikel 23 zeugungen oder die Gewerkschaftszu- technischer Systeme abgeleitet werden. der Verordnung können Mitgliedsländer gehörigkeit hervorgehen“, sowie ge- Auf europäischer Ebene geben die diese Rechte unter bestimmten Bedin- netische und biometrische Daten und

DANA • Datenschutz Nachrichten 2/2016 86 Rote Linien zur EU-DSGVO – Was ist daraus geworden?

Gesundheitsdaten. Berufsgeheimnisträ- – Verarbeitung von genetischen, betroffene Personen besonders durch ger, wie etwa Ärtzt.innen oder Anwält. biometrischen oder Gesundheits- konkretisierende Festlegungen geschützt innen dürfen diese Daten verarbeiten. daten: Artikel 9 der Verordnung gibt werden. Das umfasst: Regelungen zur Nach Artikel 90 der Verordnung kann in Mitgliedstaaten die Möglichkeit, die Transparenz, Datenminimierung, Daten- nationaler Gesetzgebung das Recht auf Verarbeitung solcher Daten weiter zu sicherheit, Opt-in-Optionen, Ausschluss Schutz der personenbezogenen Daten beschränken oder auch zu erweitern. Di- der Datenweitergabe etc. mit einer Pflicht zur Wahrung des- Be gitalcourage und DVD fordern, dass die – Vermutungswirkung für Ko-Re- rufsgeheimnisses in Einklang gebracht Verarbeitung von genetischen, biome- gulierungen: Ko-Regulierungen gemäß werden. Der Datenschutz bei Berufsge- trischen oder Gesundheitsdaten auf das Artikel 38 wie Gütesiegel, Zertifikate heimnisträgern muss auf bisherigem Ni- unbedingt Notwendige beschränkt wird. oder Verhaltenskodizes können helfen, veau beibehalten und, wo nötig, ausge- – Stärkung der Befugnisse der Auf- den Schutz von personenbezogenen und baut werden. Dazu gehört insbesondere, sichtsbehörden: Der Europäische Ge- personenbeziehbaren Daten zu erhöhen. dass IT-Dienstleister von Berufsgeheim- richtshof hat darauf hingewiesen, dass In Ko-Regulierungen können Prinzipien nisträgern sowie Forschende, die mit den Datenschutzaufsichtsbehörden ge- wie Privacy by Design und Privacy by diesen sensitiven Daten wissenschaft- gen sie verpflichtende Normen Klagebe- Default, Souveränität über Geräte und lich arbeiten, vom Privileg und von der fugnisse zustehen müssen; hierfür bedarf deren Datenverarbeitung oder Privacy Pflicht des Berufsgeheimnisses mit- er es einer Regelung ohne prozessuale Be- by Default branchenspezifisch und tech- fasst werden. schränkungen. Die Aufsichtsbehörden nisch konkret im Handeln von Unterneh- – Beschäftigtendatenschutz: Die müssen die Möglichkeit haben, effektive men verankert werden. Besonders weil Grundverordnung (Artikel 88) stellt je- Sanktionen auch gegenüber Behörden zu sich datenverarbeitende Technologien dem Mitgliedsland die Schaffung eines verhängen. Dazu gehört auch, dass die- und Anwendung schneller entwickeln Beschäftigtendatenschutzgesetzes frei. se, anders als bisher, so ausgestattet wer- als Gesetzgeber Regulierungen schaffen Digitalcourage und DVD fordern drin- den, dass sie ihre Aufgabe des digitalen können, sind Ko-Regulierungen wich- gend einen starken und umfangreichen Grundrechtsschutz effektiv wahrnehmen tige Instrumente für einen wirksamen Beschäftigtendatenschutz, was ange- können. Die Höhe der Geldbußen gegen Datenschutz. Voraussetzung dafür ist, sichts der technischen Entwicklung im Behörden muss ein wirksames Mittel dass eine wirksame behördliche Kont- Arbeitsleben nur mit einem eigenstän- zum Schutz der Privatsphäre der Bürge- rolle der Ko-Regulierungen stattfindet, digen Beschäftigtendatenschutzgesetz rinnen und Bürger sein.* dass größtmögliche Transparenz reali- möglich ist. Insbesondere müssen regu- – Betrieblichen Datenschutzbeauf- siert wird und Betroffenen-Vertretungen liert werden: Überwachung am Arbeits- tragte: Die Verpflichtungen für Firmen bei Ausarbeitung und Anwendung der platz (Artikel 88 Absatz 2), die Einwilli- in der Verordnung, eine oder einen Da- Ko-Regulierungen effektiv eingebunden gung im Beschäftigtenkontext, Transpa- tenschutzbeauftragten zu bestellen, sind werden. renz der Datenverarbeitung und wirksa- restriktiver als derzeit im Bundesdaten- – Folgenabschätzung und Vorab- me Sanktionen der Rechtsdurchsetzung schutzgesetz geregelt. Artikel 35 Absatz 4 konsultation: Digitalcourage und DVD (Artikel 84). Für die Konkretisierung der erlaubt Mitgliedsstaaten die Beibe- fordern eine gesetzliche Ausgestaltung Regelungen zum Beschäftigtendaten- haltung der gegenwärtigen nationalen der Folgenabschätzungen. Mitgliedstaa- schutz in Kollektivvereinbarungen be- Regelungen. Digitalcourage und DVD ten können nach Artikel 35 Absatz 4 bei darf es Verfahrensregelungen, die es Ar- fordern, dass die Verpflichtung zur Be- Datenverarbeitungen auf Basis von Ge- beitgeber.innen und Arbeitnehmer.innen stellung betrieblicher Datenschutzbeauf- setzen der Mitgliedstaaten laut Artikel 6 unter aufsichtsbehördlicher Kontrolle er- tragter nach § 4f Abs. 1 des Bundesda- Absatz 1 gesetzlich regeln, dass eine möglichen, die Datenverarbeitung rund tenschutzgesetzes inhaltlich beibehalten Folgenabschätzung durchzuführen ist. um den Arbeitsplatz so überwachungs- wird. Ohne eine solche Regelung würde Außerdem sollten bei der Verarbeitung frei wie möglich zu regeln. das deutsche Datenschutz-Niveau erheb- zur Erfüllung einer im öffentlichen Inte- – Zweckänderung: Artikel 6 der lich gesenkt werden.* resse liegenden Aufgabe nach Artikel 36 Verordnung erlaubt Mitgliedsstaaten – Regulierung von Beobachtungs- Absatz 5 Verarbeiter angehalten sein, mit unter anderem, Anforderungen für die maßnahmen: Personenbezogene Da- der verantwortlichen Aufsichtsbehörde Verarbeitung von Daten im öffentlichen ten, die durch Beobachtungen wie Vi- eine Vorabkonsultation durchzuführen Interesse genauer zu regulieren. Digital- deoüberwachung, Smart Meter, Smart und eine Genehmigung einzuholen. courage und DVD plädieren dafür, die Home, RFID oder vernetzten Straßen- Regulierungsmöglichkeiten in Artikel 6 verkehr verarbeitet werden, sind durch * Siehe Position der Konferenz der im Sinne einer Stärkung des Daten- die Europäische Datenschutzgrundver- unabhängigen Datenschutzbehörden des schutzes, also restriktiv, wahrzuneh- ordnung nicht wie bisher im deutschen Bundes und der Länder unter: men. Beispielsweise ist eine nationale Datenschutzrecht geschützt. Teilweise http://www.bfdi.bund.de/SharedDocs/ Publikationen/Entschliessungssammlung/ Erweiterung von Weiterverarbeitungs- erfassen diese Beobachtungen Daten, DSBundLaender/91DSK_ möglichkeiten von persönlichen Daten aus denen ohne Aufwand hochsensible EntschliessungDSStaerken.pdf?__ auszuschließen, etwa bei der Videoüber- Informationen, etwa über die Gesund- blob=publicationFile&v=5 wachung öffentlich zugänglicher Räume heit oder die politische Einstellung, ab- durch Private.* geleitet werden können. Darum müssen

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 87 BigBrotherAward

BigBrotherAwards 2016 Ein Rückblick von Frans Jozef Valenta

Sabine Leutheusser-Schnarrenberger Sönke Hilbrans | Peter Wedde

Die Eröffnungsrede bei den Big- dem Muster von Payback geraten die Die Laudatoren für Kampagnenplatt- BrotherAwards in Bielefeld hielt Sa- Versicherungskunden in ein Kunden- form change.org in der Kategorie Wirt- bine Leutheusser-Schnarrenberger. Sie bindungs- und Gängelungssystem. Mit schaft waren Peter Wedde und Sönke würdigte die Verdienste von Digitalcou- den Punkten der Generali Versicherung Hilbrans. change.org bekam den Big- rage bei der Verteidigung des Rechts auf können Versicherte sich nicht günstiger BrotherAward, „weil sie die personen- informationelle Selbstbestimmung und versichern, denn für die Punkte bekom- bezogenen Daten der Menschen, die zum Schutz der Privatsphäre. „Angst men sie Rabatte in Läden, die sich dem Petitionen unterzeichnet haben, in viel- darf nicht als Anlass dienen, die Ein- Generali-Programm angeschlossen ha- fältiger und nicht transparenter Art und griffsbefugnisse zur massenhaften ben – allerdings nur, wenn sie besonders Weise für eigene Geschäftszwecke ver- Überwachung der Bürger immer weiter gesunde Produkte kaufen. Und diese wendet“. Der Organisation wird vorge- auszudehnen“. Am Beispiel des in der müssen sie ausschließlich in bestimm- worfen, E-Mail-Handel zu betreiben und EU gescheiterten Urheberrechtsabkom- ten – aber wenigen – Markengeschäf- mit den gewonnenen sensiblen Daten mens ACTA machte sie deutlich, dass ten erwerben. Die intimen Fitnessda- Nutzerprofile zu erstellen, die geeignet sich beharrlicher Protest lohnt. ten werden im Rahmen des „Vitality- wären, Meinungsbildungsprozesse ge- Programms“ an ein südafrikanisches zielt zu beeinflussen. Abgesehen von der Finanz­unternehmen übermittelt – ohne in Deutschland und Europa datenschutz- ein existierendes Datenschutzabkom- rechtlichen Unzulässigkeit der Verar- men zwischen den Transferländern. beitung und Nutzung dieser personen- bezogenen Daten wie insbesondere der Informationen zu politischen Meinun- gen, wird zur Datenübermittlung immer noch das vom Europäischen Gerichtshof verworfene Safe-Harbor-Abkommen zu- grunde gelegt. Der Geschäftsführer von change.org nahm die „Auszeichnung“ widerwillig entgegen, um die Gelegen- heit zu einer Stellungnahme zu erhalten.

Padeluun Andrea Neunzig

In der Kategorie Verbraucherschutz- Die von Martin Haase und Kai Bier- hielt Padeluun die Laudatio wegen mann verfasste Laudatio in der Katego- der Rabattgewährung bei der Über- rie Neusprech mit dem Begriff „Daten- Andreas Liebold mittlung von Fittness-Daten an den reichtum“ wurde von Andrea Neunzig Gregor Hackmack Jeannette Gusko Versicherungskonzern Generali. Nach vorgetragen.

DANA • Datenschutz Nachrichten 2/2016 88 BigBrotherAward

Rena Tangens Frank Rosengart

Rena Tangens hielt die Laudatio in Die IBM Deutschland GmbH erhielt der Kategorie Technik anlässlich der die Auszeichnung in der Kategorie Ar- datenschutzrechtlich verwerflichen beitswelt. Frank Rosengart erläuterte Andreas Liebold | Rena Tangens Ein­führung der kontaktlosen Chip- in seiner Laudatio die Auswertung von karte „(((eTicket“ durch die Berliner Daten aus dem firmeneigenen sozia- Rena Tangens nannte in einem Inter- Ver­kehrs­­betriebe (BVG). Der Berliner len Netzwerk mit der Software „Social view die Erfolge seit der Preisverlei- Fahr­gast­verband IGEB fand heraus, Dashboard“. So könne ein Arbeitgeber hung 2015. Dazu gehörte auch die Akti- dass mit Hilfe der kontaktlosen NFC- neue Einblicke erhalten, wer welchen vität auf dem Evangelischen Kirchentag Technik Tracking­daten erhoben wur- sozialen Status und Vernetzungsgrad (DANA 3/2015, S. 140) und der Start zu den. Es wurde die Frage gestellt, wa- unter seinen Kollegen hat. Alles wird einer neuen Verfassungsklage gegen die rum überhaupt Streckendaten erfasst zum Wettbewerb, zur „Challenge“. Vorratsdatenspeicherung. werden müssen und erfolgreiche alter- native Beispiele mit kostenlosem Bus- und Bahnverkehr genannt.

Andreas Liebold Leena Simon Rolf Gössner

Leena Simon zählte eine Reihe von Der Inlandsgeheimdienst „Verfas- Gössner erklärte weiter: „Hinter dem tadelnden Erwähnungen auf: das soge- sungsschutz“ ist bisher erstaunlicher- irreführenden Tarnnamen ‚Verfassungs- nannte „Prostituiertenschutzgesetz“, die weise in den 16 Jahren seit Bestehen des schutz‘ steckt ein ideologisch geprägter Google Impact Challenge, bei der der BigBrotherAward nie mit einem Preis Regierungsgeheimdienst mit geheimen Konzern die Zivilgesellschaft als Da- bedacht worden. Für eine 65-jährige Ge- Mitteln und Methoden wie V-Leuten, tenquelle entdeckt hat, und das Cashless schichte war deshalb ein Lifetime-Award verdeckten Ermittlern, Lockspitzeln, Festival, bei dem Festival-Besucher mit fällig. Rolf Gössner erinnerte in sei- Lausch- und Spähangriffen und der einem RFID-Armband zur Konsum- ner Laudatio an „Skandale und Macht- Lizenz zur Infiltration, Täuschung und Kontrolle ausgestattet wurden. Eine lo- missbrauch, Datenschutz- und Bürger- Desinformation – Mittel und Metho- bende Erwähnung gab es für Jan Philipp rechtsverletzungen – selbstverständlich den, die gemeinhin als ‚anrüchig‘ gelten Albrecht & Team für die Arbeit an der immer im Namen von Sicherheit und und die sich rechtsstaatlicher Kontrolle EU-Datenschutzgrundverordnung. Freiheit, Verfassung und Demokratie“. weitgehend entziehen“.

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 89 Nachrichten

Datenschutznachrichten Datenschutznachrichten aus Deutschland

Bund werbefinanzierte Internetdienste wie heitlich angeschlagene PilotInnen, sich Facebook haben die Nutzerdaten eine dem Kontrollsystem der Flugaufsichts- Kartellamt ermittelt gegen herausragende Bedeutung.“ Bei Inter- behörden zu entziehen. Wegen der in Facebook netdiensten gebe es einen Trend zur Mo- Deutschland für VerkehrspilotInnen nopolisierung. Doch tut sich seine Be- geltenden Regelungen, die im Hinblick Das Bundeskartellamt prüft seit dem hörde schwer bei grenzüberschreitenden auf ärztliche Schweigepflicht und Da- 02.03.2016, ob die Nutzungsbedingun- Unternehmen. Das Kartellamt könnte, tenschutz europaweit als die strengsten gen von Facebook rechtswidrig sind. sollte sich der Verdacht erhärten, eine gelten, liegen beim Luftfahrtbundesamt Die Nutzenden von Facebook könnten Änderung der beanstandeten Klauseln (LBA) die Gesundheitsakten der Pilo- nur schwer nachvollziehen, welchen verlangen. tInnen nur in pseudonymisierter Form, Umfang ihre Einwilligung zur Erhe- Facebook reagierte gelassen: „Wir also ohne namentliche Nennung, vor. bung und Nutzung ihrer Daten hat. Das sind überzeugt, dass wir das Recht be- Nur nach einem aufwändigen Verfah- soziale Netzwerk steht unter dem Ver- folgen, und werden aktiv mit dem Bun- ren könnten Untersuchungsergebnisse dacht, seine Marktmacht auszunutzen. deskartellamt zusammenarbeiten, um einem individuellen Piloten zugeordnet Es bestünden „erhebliche Zweifel“ an dessen Fragen zu beantworten“. Diverse werden. Den Gesundheits-Check-up der Zulässigkeit dieser Vorgehensweise deutsche Datenschützer und Verbrau- machen niedergelassene Fliegerärzte – insbesondere nach deutschem Daten- cherorganisationen werfen Facebook und melden dem LBA lediglich, dass der schutzrecht. Im Zentrum der Nachfor- schon seit einiger Zeit vor, zu viele Flugzeugführer „fit to fly“ ist. schungen stehen die komplizierten Nut- Daten zu erheben und dies nicht trans- zungsbedingungen, mit denen die Nut- parent genug zu tun. Das Kartellamt be- - Der Germanwings-Absturz zenden umfassend akzeptieren müssen, treibt das Verfahren in engem Kontakt dass Facebook umfangreich persönliche unter anderem mit Datenschutzbeauf- Dies mag dazu beigetragen haben, Daten erhebt und verwendet, ohne dass tragten, Verbraucherschutzverbänden dass die Depression des German- diese dies hinreichend nachvollziehen und der EU-Kommission. Klaus Müller, wing-Piloten Andreas Lubitz, der am können. Vorstand der Verbraucherzentrale Bun- 24.03.2015 149 Menschen mit in den Weil es „Anhaltspunkte“ gäbe, dass desverband (vzbv), erklärte: „Verbrau- Tod riss, den verantwortlichen Stellen Facebook auf dem Markt für sozia- cher haben zu Facebook keine adäquate unbekannt blieb (vgl. DANA 2/2015, le Netzwerke marktbeherrschend sei, Alternative, ihre Nutzungsdaten können 82 ff.), obwohl er in den letzten Mona- könnte ein solcher Verstoß auch kar- sie nicht ohne Weiteres auf andere Por- ten seines Lebens von Mediziner zu Me- tellrechtlich missbräuchlich sein. Face- tale übertragen.“ Diese „Zwangslage“ diziner lief, Psychopharmaka verschrie- books Daten ermöglichten, so Kartell- sei ähnlich kritisch zu sehen wie „un- ben bekam und sich in Psychotherapie amtspräsident Andreas Mundt, durch faire Monopolpreise in der analogen begab. Weder bei der Airline noch beim die Bildung von Nutzungsprofilen Welt“ (Bauchmüller/Martin-Jung, Kar- Luftfahrtbundesamt (LBA) bekam man Werbekunden ein zielgenaues Werben: tellamt geht gegen Facebook vor, SZ mit, wie sich sein psychischer Zustand „Marktbeherrschende Unternehmen 03.03.2016, 1; Kartellamt ermittelt we- verschlimmerte – bis er seinen Wunsch unterliegen besonderen Pflichten“. Das gen des Verdachts auf Marktmissbrauch, nach Selbstmord in einem kontrollierten Verfahren richtet sich gegen den Kon- www.zeit.de 02.03.2016). Absturz in den französischen Alpen in zern Facebook in den USA, gegen die die Realität umsetzte. irische Tochter des Unternehmens sowie Selbst wenn einer der von Lubitz Bund gegen Facebook Germany in Hamburg. aufgesuchten Mediziner, ob Fliegerarzt Facebook ist das größte soziale Netz- Flugtauglichkeitsprüfung oder niedergelassener Arzt, sich Sorgen werk der Welt. Weltweit nutzen es täg- um dessen labile Psyche gemacht hät- lich mehr als eine Milliarde Menschen. unter Aufhebung des te, so hätte er vom LBA nicht erfahren 1,6 Mrd. Menschen schauen mindestens Patientengeheimnisses können, dass der 26-jährige Co-Pilot einmal im Monat vorbei. In Deutsch- bereits während seiner Ausbildung an land sind etwa 28 Mio. Menschen Mit- Nach Auffassung von Bundesver- einer schweren suizidalen Erkrankung glied, die meisten zwischen 18 und 44 kehrsminister Alexander Dobrindt gelitten hatte. Diese Information hätte Jahren – eine für die Werbewirtschaft (CSU) soll es in Zukunft schwerer wer- er sich, umständlich, von dem behan- höchst attraktive Gruppe. Mundt: „Für den für psychisch labile oder gesund- delnden Fliegerarzt im flugmedizini-

DANA • Datenschutz Nachrichten 2/2016 90 Buchbesprechungen

schen Zentrum der Lufthansa besorgen am 10.03.2015 und ein Arbeitsunfähig- nächsten Arzt – bis sie seinen Freischein müssen. Dabei wäre diese entscheidend keitsattest für 19 Tage vom 12.03.2015. hat. Nach dem Entwurf müssen Flugge- gewesen für seine flugmedizinische Be- Die bestehende Pflicht zur Selbstanzei- sellschaften bei ihrem Personal künftig urteilung. Denn tritt eine Depression ge funktionierte nicht. vor Dienstbeginn Kontrollen auf Medi- erneut auf, so bedeutet das in der Regel Die Pilotengewerkschaft Cockpit be- kamente, Alkohol oder andere psycho- den Entzug der Lizenz. grüßte die Empfehlungen der BEA im aktive Substanzen durchführen, „wenn In einem umfangreichen Bericht der Grundsatz. Hinsichtlich der Entbindung ein auf Tatsachen begründeter Verdacht französischen Behörde für die Untersu- von der ärztlichen Schweigepflicht je- vorliegt, dass die Dienstfähigkeit der be- chung ziviler Flugunfälle (BEA) kommt doch gab man sich vorsichtig. Es müss- treffenden Person wegen der Einnahme diese zu dem Ergebnis: „Der Prozess ten weiterhin strenge Kriterien angelegt dieser Mittel beeinträchtigt oder ausge- der medizinischen Begutachtung des werden, damit die Privatsphäre ge- schlossen ist“. Zusätzlich soll es prä- Copiloten war konform mit den Regeln, schützt bleibe. Es sei bereits jetzt grund- ventive Zufallskontrollen geben. Diese die zu der Zeit in Deutschland galten.“ sätzlich möglich, bei Gefahr im Verzug müssen auch unter ärztlicher Aufsicht In der Präsentation des Berichts dräng- medizinische Daten weiterzugeben. durchgeführt werden. Wie die Kont- te aber BEA-Direktor Rémi Jouty dar- rollen konkret vorgenommen werden, auf, diese Regeln in Deutschland und - Der Gesetzentwurf sollen Arbeitgeber und Gewerkschaften Europa zu ändern. Die BEA verlangt in Tarifverträgen oder Betriebsverein- u. a., die ärztliche Schweigepflicht zu Die bisherige Überprüfungs- und barungen regeln. Die EU-Aufsichts- lockern und klarer und konkreter als Meldepraxis wurde auch durch die EU- behörde hatte unangekündigte Alko- bisher im Interesse der „öffentlichen Kommission gerügt und ein Vertrags- hol- und Drogentests gefordert. Bislang Sicherheit“ Ausnahmen vorzusehen. Er verletzungsverfahren gegen Deutsch- ist Deutschland, so der Entwurf, „das erwähnte lobend, dass in Israel, Kana- land, konkret das Dobrindt-Ministeri- einzige EU-Land“, das entsprechende da und Norwegen sogar eine Pflicht zur um, eingeleitet. Auf dessen Initiative internationale Bestimmungen der Flug- Information des Arbeitgebers besteht. hin will die Regierungskoalition nun medizin mit zusätzlichen Datenschutz- Weiterhin empfiehlt der Bericht, -Pilo das Luftverkehrsgesetz ändern und die bestimmungen eingeführt hat. tInnen weitaus häufiger „psychologisch Pseudonymisierung beenden. Dazu soll Widerstand gegen das veränderte und psychiatrisch“ auf die Flugfähigkeit „eine elektronische Datenbank über Luftverkehrsgesetz leisten die PilotIn- zu testen. Zudem befürwortet er, nach durchgeführte flugmedizinische Unter- nen. Der Sprecher der Pilotenvereini- britischem Vorbild und unter ärztlicher suchungen und Beurteilungen“ beim gung Cockpit, Markus Wahl, bezeichnet Aufsicht PilotInnen unter dem Einfluss LBA angelegt werden, damit die Behör- die Gesetzesnovelle als kontraproduktiv. von Psychopharmaka fliegen zu lassen, de ihre Aufsicht über die flugmedizini- Es werde die ärztliche Schweigepflicht weil sie ansonsten, wie Andreas Lubitz, schen Zentren „sicherstellt“. aufgehoben, wenn medizinische Daten ihre Krankheit verheimlichen könnten. Die Datenbank soll sämtliche Un- an das LBA gemeldet werden: „Kolle- Schließlich schlägt die BEA bessere tersuchungsberichte bei festgestellter gen mit gesundheitlichen oder psychi- Verdienstausfall-Versicherungen für Untauglichkeit enthalten, und zwar per- schen Problemen werden sich aus Angst flugunfähige PilotInnen im Interesse sonenbezogen und namentlich. Zugriff vor Sanktionen künftig nicht mehr ei- von deren finanzieller Absicherung vor. darauf soll die flugmedizinische Abtei- nem Arzt anvertrauen“. Es wäre somit Allein 124 Seiten ist die Zusammen- lung des LBA haben. Die dortigen Me- die vollkommen falsche Lehre aus der fassung des BEA-Reports lang. Die dizinerInnen, die der Schweigepflicht Germanwings-Katastrophe, die flugme- gesamte Untersuchung ist mit Doku- unterliegen, sollen bei Zweifeln an der dizinischen Regeln zu verschärfen. menten 6000 Seiten stark. Darin wird Tauglichkeit des Piloten eingreifen und Die Taskforce, zusammengesetzt aus nacherzählt, dass Andreas Lubitz ins- die Lizenz zurückziehen können. All Airlines, Behörden und PilotInnen, die gesamt 41 Ärzte konsultiert hatte und dies war bisher praktisch unmöglich. das Bundesverkehrsministerium nach dies schon August 2008, noch während Zusätzlich soll es in Zukunft einen flie- dem Absturz in Frankreich eingerichtet seiner Ausbildung bei der Lufthansa. Im gerärztlichen Ausschuss geben, der das hatte, sprach sich für die Abschaffung Dezember 2014 hatten „verschiedene LBA bei dem Verdacht einer Gesund- der Pseudonymisierung aus. Der Vor- Ärzte“ festgestellt, dass für die häufigen heitsstörung bei PilotInnen beraten soll. sitzende der Kommission, Matthias von Seh- und Schlafstörungen ihres Patien- Die Koalitionsfraktionen haben ei- Randow vom Bundesverband der deut- ten „kein organischer Grund“ vorlag. nen entsprechenden Gesetzentwurf in schen Luftverkehrswirtschaft (BDL), Am 17.02.2015 hatte Lubitz wegen den Bundestag eingebracht. Darin be- sagte bei der Vorstellung eines Zwi- seines psychischen Leidens zwei Ärzte gründen die Regierungsparteien, in der schenberichts im Sommer 2015, dass aufgesucht. Ein privater Arzt schrieb ihn Vergangenheit seien Mehrfachunter- durch einen solchen Schritt „die Untersu- für acht Tage krank. Ein weiterer priva- suchungen einer Piloten-BewerberIn chungs- und Kontrollpraxis vereinfacht“ ter Arzt stellte ihm ein Rezept für das nicht festgestellt worden und eine Art werde (Traufetter, Ende der Anonymität, Schlafmittel Zopiclon aus. Alles dies „Tauglichkeitstourismus“ sei entstan- www.spiegel.de 22.02.2016; Corneloup, verschwieg der Copilot seinem Arbeit- den: Erhält eine PilotIn eine ihre Taug- Unangekündigte Pilotenkontrollen sol- geber, ebenso eine Überweisung für eine lichkeit gefährdende oder gar vernei- len ins Luftverkehrsgesetz einfließen, stationäre psychiatrische Behandlung nende Diagnose, geht sie einfach zum www.airliners.de 22.02.2016; Christina

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 91 Nachrichten

Berndt, Die Lehren aus der Katastrophe, geworben werden soll, ist für den Ver- Computern oder Smartphones eines Ver- SZ 14.03.2015, 8). braucher nicht klar erkennbar.“ dächtigen abgeschöpft. Das Programm Der vzbv beanstandet zudem eine dient der Überwachung laufender Ge- Klausel, nach der nur für die Weitergabe spräche und Chats. Der Ministeriums- Bund „sensibler Kategorien“ von personenbe- sprecher erläuterte: „Grundsätzlich ist vzbv klagt gegen Google zogenen Daten eine ausdrückliche Ein- das eine Fähigkeit an einer Stelle, wo willigungserklärung notwendig ist. Eine es eine solche Fähigkeit nicht gab.“ wegen Mail-Inhaltskon- Unterscheidung zwischen „sensiblen“ Die Software dient der Quellen-Tele- trolle und anderen personenbezogenen Daten kommunikationsüberwachung. Sie soll ist nach Ansicht des vzbv mit den deut- es den Ermittlern ermöglichen, Kom- Der Verbraucherzentrale Bundesver- schen Datenschutzvorschriften nicht munikation mitzuverfolgen, bevor sie band (vzbv) hat erneut zwei Klauseln in vereinbar. verschlüsselt ist. Die Freigabe sei „nach der Datenschutzerklärung von Google Der vzbv hatte bereits 2012 gegen 25 umfassenden Tests und einer externen abgemahnt. Es geht um die Erhebung Klauseln der damaligen Datenschutz- Software-Prüfung“ im Herbst 2015 er- und Verwendung von personenbezoge- erklärung und Nutzungsbedingungen folgt. Auch die Landeskriminalämter nen Daten. Zwei Nutzungsbedingun- geklagt und im November 2013 vor könnten das Programm nutzen; ihre gen enthielten Formulierungen, die die dem Landgericht Berlin gewonnen. Da- MitarbeiterInnen müssten aber noch ge- Rechte der VerbraucherInnen nach An- gegen ist der Konzern in Berufung ge- schult werden. sicht des vzbv unzulässig einschränken. gangen. Dieses Verfahren liegt derzeit Beim Bundestrojaner handelt es sich Der Konzern maßt sich an, automatisiert beim Kammergericht. Google hat dann um ein Programm, das – wie ein tro- Inhalte der NutzerInnen, zum Beispiel im Sommer 2015 seine Datenschutzbe- janisches Pferd – auf den Rechner des E-Mails beim Dienst Gmail, zu analy- stimmungen geändert. Allerdings sind Verdächtigen gespielt werden und den sieren, um etwa personalisierte Wer- die streitgegenständlichen Klauseln Ermittlern dann über das Internet die bung zu platzieren. Der vzbv hält das für zum Teil immer noch darin zu finden. Chance geben soll, die Kommunikati- rechtswidrig, weil es an einer wirksamen Auf die Abmahnung durch den vzbv zu on mit dem Gerät mitzuhören oder zu Einwilligung in diesen intensiven Ein- den beiden weiteren Klauseln aus der lesen. Einer Vorgängerversion, die Er- griff fehlt. Viele E-Mails enthalten sehr aktuellen Datenschutzerklärung hatte mittler nicht nur mitlesen ließ, sondern private und höchstpersönliche Informa- Google bis zum vorgegebenen Termin gleich Zugriff auf den ganzen Rechner tionen, die durch das Telekommunikati- am 12.02.2016 nicht reagiert, so dass ermöglichte, setzte das Bundesverfas- onsgeheimnis besonders geschützt sind. der vzbv nun eine Unterlassungsklage sungsgericht 2008 enge Grenzen, die Diese stammen nicht immer nur von der vor dem Landgericht Berlin erhob (vzbv von der neuen Software beachtet werden NutzerIn, sondern oft auch von Dritten, PM v. 26.02.2016, vzbv mahnt Daten- sollen. Der Sprecher des Innenministeri- die E-Mails an die NutzerIn senden. schutzerklärung von Google erneut ab; ums betonte, das Instrument komme nur Dazu Klaus Müller: „Es kann nicht sein, Mossbrucker, Verbraucherschützer kla- aufgrund gesetzlicher Voraussetzungen dass Google die E-Mails seiner Nutzer gen gegen Google, SZ 26.02.2016, 22). zum Einsatz. Die Bundesdatenschutz- ohne spezifische Einwilligung mitliest, beauftragte Andrea Voßhoff sei beteiligt um diesen dann maßgeschneiderte Pro- gewesen. duktinformationen anzuzeigen.“ Bund Der Grünen-Fraktionsvize Konstantin Der vzbv geht davon aus, dass es für von Notz zeigte sich skeptisch, ob der die Erhebung und Nutzung personenbe- Bundestrojaner ist Trojaner verfassungskonform eingesetzt zogener Daten zu Werbezwecken immer einsatzbereit werden kann: „Das Bundesverfassungs- eine gesonderte Einwilligung geben gericht hat klargemacht, dass ein heim- muss. In einzelnen Klauseln der aktu- Nach monatelangen Vorbereitungen licher Fernzugriff nur unter strengsten ellen Datenschutzerklärung wird diese steht den Ermittlern von Bund und Län- Voraussetzungen und bei überragend Praxis zwar allgemein angekündigt, dern die umstrittene eigene Software für wichtigen Rechtsgütern zulässig sein allerdings ohne die VerbraucherIn um Online-Durchsuchungen zur Verfügung. kann.“ Dies ist demnach etwa bei Gefahr Zustimmung zur konkreten Datenerhe- Ein Sprecher des Bundesinnenministeri- für Leib und Leben oder Delikten gegen bung und Datennutzung zu bitten. Dass ums (BMI) teilte mit, dass die Genehmi- den Bestand des Staats der Fall. Von Notz die Nutzenden aufgefordert werden, der gung für den sogenannten Bundestroja- forderte unter anderem, dass der dem Datenschutzerklärung von Google ins- ner erteilt worden sei. Die technischen Programm zugrundeliegende Quellcode gesamt zuzustimmen, genügt dem vzbv Tests und der notwendige rechtliche offengelegt werden müsse, also der Pro- nicht. Der Begriff „Werbung“ wird in Vorlauf seien abgeschlossen. Der Bun- grammiertext der Software. Ähnlich äu- diesem Zusammenhang nicht näher be- destrojaner könne jederzeit zum Einsatz ßerte sich auch für den Chaos Computer schrieben, so dass er theoretisch sogar kommen. Ursprünglich wollte das Bun- Club (CCC) Falk Garbsch: „Es ist fast Anrufe bei der NutzerIn umfasst. Heiko deskriminalamt (BKA) ihn im Herbst unmöglich nachzuweisen, dass ein Pro- Dünkel, Referent im Team Rechtsdurch- 2015 einsatzbereit haben. gramm eine bestimmte Funktion nicht setzung beim vzbv: „Auf welchen Ka- Bei der Online-Durchsuchung wer- hat.“ Der CCC hatte 2011 eine ähnliche nälen und für welche Produktgruppen den Daten auf den Speichermedien von Software bayerischer Behörden analy-

DANA • Datenschutz Nachrichten 2/2016 92 Nachrichten

siert und festgestellt, dass das Programm künftig für jeden von den Amerikanern Einzelheiten erfahren dürfe. Die Oppo- einen umfassenden Zugriff auf die Spei- übermittelten Suchbegriff eine Begrün- sition im Bundestag klagt dagegen vor cher der Zielpersonen sowie die Fern- dung zu verlangen. So etwas dürfe sich dem Bundesverfassungsgericht. steuerung der Rechner ermöglichte. Der nicht wiederholen. Inzwischen läuft die Kooperation CCC wies zudem darauf hin, dass ein Die NSA forderte zu Geduld auf. Im- zwischen deutschen und US-Geheim- Trojaner immer auch ein Einfallstor für merhin hatten die USA den BND zuletzt diensten wieder reibungslos, nichts andere Kriminelle ist. Diese könnten sich mit 4,5 Millionen Suchbegriffen belie- werde zurückgehalten, heißt es. Auch Schwachstellen in der Software zunutze fert, die 1,2 Millionen Personen und In- bei der Terrorwarnung an Silvester machen, die Funktionen des Trojaners stitutionen betrafen. Nur für abgehörte 2015/16 in München spielten die Ame- erweitern und ihre eigenen Program- Telefonnummern gab es jeweils eine rikaner eine Rolle. Die Proteste aus me einschleusen. So könnten sich z. B. kurze Begründung der NSA, nicht für Berlin sind leiser geworden. Inzwi- ausländische Geheimdienste oder Kri- E-Mail-Adressen, das Gros der Über- schen kam heraus, dass auch der BND minelle Zugang zu Rechnern von Ver- wachung. Kurzerhand beendeten BND befreundete Regierungen von Bad dächtigen verschaffen, die von deutschen und Kanzleramt deshalb diesen Teil der Aibling aus ausspionierte. Der Dienst- Behörden überwacht werden (BKA- Kooperation. Die Datenbank der NSA stellenleiter wurde wie andere höhe- Software zur Online-Überwachung ein- für die Internet-Suchbegriffe wurde ab- re Chargen der Abteilung Technische satzbereit, www.focus.de 22.02.2016; geschaltet. Prompt machten Alarmmel- Aufklärung inzwischen versetzt. Das BKA setzt nun „Bundestrojaner“ ein, SZ dungen die Runde: Davon werde sich Kanzleramt plant, nun den Entwurf ei- 23.02.2016, 7). das deutsch-amerikanische Geheim- nes Gesetzes vorlegen, der politische dienstverhältnis nicht erholen, es gebe Spionage gegen europäische Freunde schon Überlegungen der USA, künftig verbietet und dem Bundestag ein Kon­ Bund lieber stärker mit Polen, Skandinaviern troll- und Mitspracherecht bei der Fra- oder Franzosen zu kooperieren. Und, ge einräumt, wer künftig abgehört wer- BND-US-Kooperation besonders gravierend: Deutschland den darf (Mascolo, Terrorfahndung im läuft wieder werde künftig weniger Hinweise auf Alpenvorland, SZ 09./10.01.2016, 1). terroristische Bedrohungen erhalten – Gemäß Presseberichten haben der und stünde schutzlos da. deutsche Bundesnachrichtendienst Nichts davon ist eingetreten. Bereits Bund (BND) und der US-Geheimdienst Na- seit Monaten liefern die US-Amerika- tional Security Agency (NSA) die ge- ner nun Stück für Stück die eingefor- BND verweigert Daten- meinsame Überwachung des Internets derten Begründungen, der BND gibt sie schutzprüfung über die Abhörstation in Bad Aibling in seine Computer ein. Vor allem die wieder aufgenommen; wo Parabolspie- Netze in den Krisengebieten sollen das Die Bundesbeauftragte für den Da- gel, die sich unter den überdimensio- Ziel sein. Die erfassten Datenmengen tenschutz und die Informationsfrei- nierten Golfbällen verbergen, auf Sa- sind riesig. Gerechnet wird in „Sessi- heit (BfDI) Andrea Voßhoff wirft telliten ausgerichtet sind. Die Station ons“, die jeweils eine Stunde dauern. dem Bundesnachrichtendienst (BND) fängt nach Angaben aus Regierungs- Vor der teilweisen Stilllegung wurden in einem 60-seitigen Bericht zur kreisen vor allem Kommunikation aus in einer Session 23 Millionen Rohda- deutsch-US-amerikanischen Koopera- dem sogenannten islamischen Krisen- ten erfasst. Auf Bad Aibling, das einen tion in der Überwachungsstation Bad bogen ab – Afghanistan, Syrien, dem „einzigartigen Zugang“ erlaube, wie Aibling vor, ihrer Behörde die sog. Irak, Libyen. die NSA einmal schrieb, will man nicht NSA-Selektoren nicht zur Prüfung Im Mai 2015 war die Lausch-Koope- verzichten. zu überlassen. Dies sei ein „schwer- ration nach einem Eklat ausgesetzt wor- Bisher spricht nichts dafür, dass die wiegender Verstoß“ gegen das Bun- den. Seit 2002 hatten NSA und BND Amerikaner erneut versuchen, den desdatenschutzgesetz (BDSG). Das hier zusammengearbeitet. Laut der Deutschen etwas unterzujubeln. In kei- BDSG schreibt allen öffentlichen Stel- streng-geheimen Vereinbarung sollte nem einzigen Fall soll der BND in den len des Bundes vor, die Behörde der es vor allem um die Suche nach Ter- vergangenen Monaten eine der gelie- BfDI zu unterstützen. Gemäß dem Be- roristen und Waffenschiebern gehen. ferten Begründungen der NSA als nicht richt unterliegen alle Selektoren, die Doch dann kam heraus, dass die NSA stichhaltig abgelehnt haben. Das Weiße über deutsche Systeme laufen, dem den deutschen Freunden Zehntausende Haus, so heißt es in Berlin, sei zudem deutschen Recht und damit der BfDI- Suchbegriffe, sogenannte Selektoren, zufrieden, dass bisher die meisten der Kontrolle. Der BND hatte über Jah- untergeschoben hatte, die gar nichts hässlichen Details über amerikanische re hinweg für den US-Geheimdienst mit der Suche nach Kriminellen zu tun Spionageoperationen gegen die eu- NSA Millionen Suchbegriffe, die sog. hatten. Es ging um ganz gewöhnliche ropäischen Freunde unter der Decke Selektoren, in seine eigenen Systeme Spionage – auch gegen DiplomatInnen blieben. Genau deshalb hatte das Kanz- eingespeist. Gemäß der BfDI hätten und SpitzenpolitikerInn befreunde- leramt verfügt, dass nur ein Sonderer- diese Selektoren niemals verwendet ter EU-Staaten. Das Kanzleramt war mittler, aber nicht der NSA-Untersu- werden dürfen („Schwerwiegender düpiert, der BND wurde angewiesen, chungsausschuss des Bundestages, die Verstoß“, Der Spiegel 16/2016, 23).

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 93 Nachrichten

Bund sung des benannten Problems und kein Bayerische Besonderheiten, so Naßl, vertröstendes Standardschreiben. Das habe das Programm inzwischen auch Stasi-Unterlagen- Münchener Versicherungsunternehmen drauf: „Mit der doppelten Verneinung erhält jährlich mehr als sieben Millionen hat Watson überhaupt keine Proble- Verwaltung soll reformiert Kundenbriefe und Mails. Schon bisher me“ (Fromme, Ärger an Watson, SZ werden werden sie per Computer analysiert, der 09.12.2015, 17). die Post nach Schlagworten untersucht, Die Expertenkommission zur Re- ohne aber den Zusammenhang der Wör- Bayern form der Stasi-Unterlagen-Behörde ter zu erkennen. Angestellte arbeiten legte dem Kulturausschuss des Bundes- manuell nach, um die Schreiben an den Holtzbrinck plant vollauto- tags einen Vorschlag vor, wonach aus richtigen Ansprechpartner zu leiten, der dem Bundesbeauftragten für die Stasi- sie dann beantwortet. matisierte Krankenversi- Unterlagen eine Art Opferbeauftragter Versicherungsangestellte und Sprach- cherung nach US-Vorbild nach dem Vorbild des Patientenbeauf- wissenschaftlerInnen haben Watson u. tragten werden soll. Das vom früheren a. Unmutsäußerungen beigebracht. Das In den USA ist eine vollständig digi- Ministerpräsidenten Sachsen-Anhalts, Programm führte dann selbsttätig Ana- talisierte Krankenversicherung mit dem Wolfgang Böhmer (CDU), geführte lysen durch. Mit dem Ergebnis starte- Namen „Oscar“ am Markt, bei der alles, Gremium will mehrere „Bausteine“ ten die Trainer eine neue Runde mit von der Antragstellung über die Arzt- für eine Reform präsentieren. Die Zu- Instruktionen. Inzwischen soll Watson wahl bis hin zur Patientensteuerung, ständigkeit für die Stasi-Akten soll das sogar Ironie erkennen können. „Wenn über eine Smartphone-App erledigt Bundesarchiv erhalten. Die Akten sollen ein Kunde schreibt, ‚vielen Dank für wird. Google hat im September 2015 33 jedoch „nutzernah“ bleiben; d. h. die die schnelle Schadenbearbeitung‘, und Millionen Dollar bei Oscar investiert. Akteneinsicht soll nicht eingeschränkt sich im nächsten Satz beschwert, dann Oscar wird als mögliches Zukunftsmo- werden. Die Forschungsabteilung des erkennt das Programm das und reagiert dell weltweit von Krankenkassen und Bundesbeauftragten soll eigenständig entsprechend.“ Watson ordnet die Sät- privaten Versicherern aufmerksam ver- werden. Die SPD-Fraktion drängt auf ze in den Schreiben in drei Kategorien folgt. Ein Werbevideo beschreibt, wie eine rasche Umsetzung der Reform, die ein: Auslöser, Unmutsäußerung und das System funktioniert: „Hi, we‘re im Grundsatz im schwarz-roten Koali- Forderung. Auslöser: Niemand hat sich Oscar“. Kundin Joanna hat ein Problem tionsvertrag vereinbart ist. Sie will Ro- gemeldet. Unmutsäußerung: Die Kun- und teilt dies über die App mit: „Ich land Jahn erst für eine zweite Amtszeit dIn stellt fest, dass sie keine Reaktion habe Ausschlag“. Die App antwortet wiederwählen, wenn Einigkeit über die erhalten hat, schreibt: „Ich bin sauer.“ sofort – kostenfrei: „Soll unser dienst- Auflösung der einstigen Gauck- bzw. Die Forderung: „Ich bitte Sie nochmals, habender Arzt anrufen?“ Wenn Joanna Birthler-Behörde besteht. So lange soll meinen Sachverhalt zu prüfen und sich zu einem Hautarzt möchte, dann kostet Jahn das Amt kommissarisch führen. mit mir in Verbindung zu setzen.“ das 100 Dollar (92 Euro) Zuzahlung. Jahn habe Bereitschaft signalisiert, den Beim Test der VKB, wie gut sich Für eine Hausarzt-Konsultation sind nur umgewandelten Posten zu übernehmen Watson im Vergleich zu Menschen 60 Dollar fällig. Joanna entscheidet sich (Ende der Jahn-Behörde, Der Spiegel schlägt, die Unterlagen von Hand sor- für den Hausarzt. Die App schlägt eine 10/2016, 29). tieren, so Naßl, habe die Maschine Reihe von Medizinern in der Nähe vor „sehr überzeugend“ gewonnen. Im und kann die Terminvereinbarung über- Bayern nächsten Schritt will die VKB Watson nehmen. Joanna möchte aber jetzt doch nun im Alltag nutzen. Arbeitsplätze soll erst den diensthabenden Arzt telefonisch VKB nutzt „künstliche das nicht kosten, nur Anpassungen wer- konsultieren und lädt vor dem Gespräch de es geben. Das Programm analysiert ein Foto ihres Ausschlags hoch. Intelligenz“ zur Sachbear- Sprache und reagiert entsprechend. Der Der deutsche Investor Dieter von beitung Name des Computers bezieht sich auf Holtzbrinck plant, in Deutschland mit Thomas Watson, den ersten IBM-Chef. einem digitalen privaten Krankenversi- Die Versicherungskammer Bayern 2011 machte Watson Schlagzeilen, als cherer nach dem Vorbild Oscar in den (VKB) nutzt den IBM-Supercomputer der Computer die US-Quizshow „Jeo- Markt zu gehen. Das Investment wird Watson in Kooperation mit der Hoch- pardy“ gewann. Inzwischen ist sein im zweistelligen Millionenbereich lie- schule für angewandte Wissenschaften Programm sehr viel weiter entwickelt gen. Im ersten Quartal 2017 soll die Ge- in München, um die Tausende Schrei- und wird im Gesundheitswesen, im sellschaft in München an den Start ge- ben, die KundInnen zusenden, zu ana- Einzelhandel, bei der Analyse sozia- hen. Der neue Versicherer will sich auf lysieren. Die Software soll, so VKB- ler Netze und in vielen anderen Wirt- die Kranken-Vollversicherung und die Managerin Isabella Martorell Naßl, schaftsbereichen eingesetzt, darunter Pflegeversicherung konzentrieren, nicht „Unmutsäußerungen in Kundenschrei- Banken und Versicherungen. Die Un- so sehr auf die Zusatzpolicen für Zahn- ben erkennen und in verschiedene Ka- ternehmen erhoffen sich eine zielge- ersatz oder Einbettzimmer im Kranken- tegorien sortieren“. Ergebnis soll eine nauere Kundenansprache und auch haus. Der Unternehmensberater Roman passgenaue Antwort sein mit einer Lö- Kostensenkungen. Rittweger leitet den Aufbau und soll

DANA • Datenschutz Nachrichten 2/2016 94 Nachrichten

Vorstand werden. Rittweger habe mit sen, weil zwei von elf Überwachungs- Berlin der erfolgreichen Gründung der Firma kameras den dortigen Sozialraum rund Almeda gezeigt, dass er das Geschäft um die Uhr ins Visier nehmen und of- Digitales Inkassounter- versteht. Almeda ist Gesundheitsdienst- fenbar live nach München übertragen, nehmen „Pair“ leister für Versicherer, Kassen und ande- nicht aber auf irgendein Gerät in Ober- re Firmen. hausen. Im Sozialraum ziehen sich die Das Berliner Internetunternehmen Bis zum Markteintritt haben die Grün- Beschäftigten um und nehmen ihre Finleap will mit einem neuen Start-up der noch viele Hürden zu nehmen. Sie Zwischenmahlzeiten ein. Dort sind aber die etablierte Inkassowirtschaft angrei- müssen die Finanzaufsicht Bafin davon auch zwei Tresore in die Wand eingelas- fen. Mit „Pair“, so der Name, will es überzeugen, dass die künftigen Vorstän- sen. Vor der Kamerainstallation waren säumige Zahlungspflichtige statt auf de geeignet sind und die Finanzplanung die Beschäftigten nicht informiert wor- dem Postweg ausschließlich über E- solide ist. Angesichts der niedrigen Zin- den. Die Bayern-Manager behaupten, Mail und SMS kontaktieren. Zudem sen ist es nicht einfach, das Unterneh- damit Diebstahl verhindern zu wollen, will das Unternehmen mit Hilfe von men stabil aufzustellen. Anders als in was etwas unglaubwürdig ist, weil dort Algorithmen herausfinden, warum eine den USA muss ein privater Krankenver- noch nie jemand in die Kasse oder in die KundIn nicht zahlt und wie sich am bes- sicherer in Deutschland Alterungsrück- Tasche einer KollegIn gegriffen habe. ten das Geld eintreiben lässt. Dabei sol- stellungen aufbauen, damit die Beiträge Der Sozialraum ist nach hinten mit einer len auch Daten zum Einsatz kommen, im Alter – wenn die Gesundheitskosten schweren Stahltür gesichert, nach vorne die eine SchuldnerIn in sozialen Netz- höher sind – nicht astronomische Höhen mit einem Alarmmelder. Wer die Tür werken hinterlässt. Investor und Berater erreichen. Wegen der niedrigen Zinsen ohne Schlüssel öffnet, löst Alarm aus. ist Sebastian Diemer, Mitbegründer des dürfte das gerade am Anfang nicht ein- Insbesondere nachdem der Umsatz stark umstrittenen Hamburger Start-ups Kre- fach sein und viel von den Beiträgen gefallen ist, vermutete die Belegschaft, ditech (vgl. DANA 3/2013, 118), das kosten. Die Gründer glauben, dass sie dass sie mit der Vollüberwachung unter Online-Kredite vergibt und dabei die trotzdem wettbewerbsfähig sein wer- Druck gesetzt werden solle. Datenspuren der KundInnen im Netz den. Die Digitalisierung sorge für nied- Die klagende Verkäuferin, die seit 16 auswertet (Digitale Geldeintreiber, Der rigen Aufwand beim Vertragsabschluss Jahren im Fanshop arbeitet, verlangte im Spiegel 7/2016, 72). und günstige Verwaltungskosten. Die Dezember 2015, dass die Kameras im Firma will eine ausgefeilte digitale Ri- Sozialraum abgebaut werden und droh- sikoanalyse für die Kundengewinnung te mit Klage. Nachdem nichts passierte, Nordrhein-Westfalen einsetzen (Fromme, Digital wie Oscar, erhob sie Klage, weil es „keinen Win- SZ 18.12.2015, 16). kel mehr“ gibt, der nicht überwacht ist Axa setzt auf Pay-as-you- und sie einen „Striptease vor laufender drive und Digitalisierung Bayern Kamera“ hinlegen müsse, wenn sie sich umzieht. Der Arbeitgeber ignorierte den Mit dem neuen Programm will der Mitarbeiterüberwachung anberaumten Prozesstermin und wurde Versicherer Axa (vgl. DANA 1/2015, am 07.01.2016 vom Arbeitsgericht in 39 f.), dessen Deutschlandsitz in Köln im Bayern-Fanshop einem Versäumnisurteil zum Abbau ver- ist, junge FahrerInnen locken. Wer un- Oberhausen pflichtet. Statt aber die Kameras gemäß ter 25 ist, kann damit bis zu 15% Rabatt dem Urteil abzubauen, wurde dieses erreichen. Die FahrerIn muss dafür eine Der Fußballclub Bayern München vom deutschen Fußball-Rekordmeister Smartphone-App in einem Zeitraum hat nicht nur Fans außerhalb von Bay- mit einem Einspruch angefochten. Es von zwölf Wochen mindestens 40 mal ern, sondern auch einen Fanshop in wurde behauptet, die beiden Kameras für drei Kilometer oder mehr einschal- Oberhausen, zwischen Schalke und im Sozialraum hätten einen engeren ten und hierbei einen guten Score er- Dortmund, wo im November 2015 ein Blickwinkel als die im Laden; bzgl. der zielen. Ist die App auf dem Handy an- erweiterter Laden eingeweiht wurde. Aufbewahrungszeit der Bilder war zu- geschaltet, misst sie Geschwindigkeit, Ein Tag vor der Eröffnung des neuen nächst von 180 Tagen die Rede, dann Verhalten beim Bremsen, Beschleuni- Ladens verlangte der Betreiber des Ein- von erheblich kürzer, ohne sich fest- gung und Kurvenfahren mit den Senso- kaufszentrums eine Bescheinigung vom zulegen. Ende Januar 2016 wurde der ren des Smartphones, also ohne Black- Fanschop-Betreiber, dass die installier- Filialleiter in Oberhausen nach fast 19 box, im Auto. Nach der Fahrt wird der ten Überwachungskameras nicht gegen Jahren fristlos gekündigt, obwohl man FahrerIn das Auswertungsergebnis an- den Datenschutz verstoßen. Die Daten- ihn noch kurz zuvor als verdienten Mit- gezeigt – die Strecke auf einer Karte schutzbeauftragte des FC Bayern stellte arbeiter bezeichnet hatte. Er hatte sich in und mit einzelnen dunkelrot markierten diese Bestätigung umgehend aus, ohne einem Brief an den Bayern-Vorstand – Punkten. Beispiel: „Kilometer 5,3: Viel sich die Überwachung vor Ort ange- unter Bezugnahme auch auf die Kame- zu starke Bremsung, Kilometer 9,78: schaut zu haben und unter Zitieren einer ras – über Arbeitsbedingungen auf dem Viel zu starke Beschleunigung.“ Der nicht zutreffenden Rechtsgrundlage. „Niveau der untersten Kreisklasse“ be- Score ist miserabel: 46 von 100 mög- Eine dort beschäftigte Verkäuferin klagt (Dahlkamp/Latsch/Schmitt, Wei- lichen Punkten beim Beschleunigen, 45 klagte vor dem Arbeitsgericht Oberhau- ter Winkel, Der Spiegel 8/2016, 54-56). Punkte beim Bremsen, nur beim Kur-

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 95 Nachrichten

venfahren 64. „Gut“, lobt die App, aber Die klassischen Versicherungsunter- der Name ihrer Schwester erkennbar war. nur da. nehmen sehen ihre alten Geschäftsmo- Hasse kündigte ein Verwaltungs- und Damit bringt nach der Hannoveraner delle als bedroht an, weil Autohersteller Bußgeldverfahren wegen des Verstoßes VHV (DANA 4/2015, 179) ein weiterer in das Geschäft verstärkt einsteigen und gegen Datenschutzrecht an. großer Autoversicherer einen Telema- Internetportale die bisherigen Vertriebs- Nach Angaben des Klinikums Bad tiktarif auf den Markt. Die Marktführer wege in Frage stellen. Eine ganze Reihe Salzungen handelt es sich möglicher- HUK Coburg und Allianz wollen 2016 von Start-ups bietet an, die ungeliebte weise um Papiere aus einer Außenstelle folgen. Das Besondere an der Axa-App: Versicherung einfacher zu machen. des vom Klinikum betriebenen medi- Sie kommt ohne festverbaute Box aus Axa-Deutschlandchef Thomas Buberl zinischen Versorgungszentrums. Eine und kann von der FahrerIn beliebig will mit Digitalisierung, Datenauswer- kurzfristig veranlasste Prüfung habe an- und ausgeschaltet werden, was die tung, Kostensenkung und Erhöhung der ergeben, „dass unter Missachtung der Anwendung für datenschutzbewusste Kundenfrequenz die eigene Position ret- Vorschriften patientenbezogene Papiere FahrerInnen akzeptabler machen könn- ten: „Dafür brauchen wir auch andere nicht ordnungsgemäß entsorgt wurden“. te als Systeme mit Dauerüberwachung. Leute.“ Auch Umschulung sei wichtig. Geschreddertes Material aus dem Ver- Kritisiert wird, dass das verwendete Die Mehrzahl seiner Programmiere- sorgungszentrum in Kaltennordheim sei System das Fahrverhalten nur ungenau rInnen arbeite noch mit der Uralt-Pro- nicht bis auf die vorgeschriebene End- misst und deshalb ungeeignet sei. Axa grammiersprache Cobol, es gebe viele größe zerkleinert und aus den Praxisräu- sieht dies nicht so. VersicherungsmathematikerInnen, aber men entfernt worden. „Die Vermutung Für FahrerInnen unter 25 müssen die wenig DatenanalystInnen. Außerdem liegt nahe, dass dieses von dort den Weg Versicherer mehr als doppelt so viel für zielt Buberl auf eine Flexibilisierung der auf die Dermbacher Straßen fand.“ Im Schäden ausgeben als für Versicherte Arbeitsplätze: „Wir brauchen keine fes- Klinikum selbst habe es keine Unregel- zwischen 26 und 68. Dem Unternehmen ten Arbeitsplätze mehr“. Die belgische mäßigkeiten gegeben, wie eine Über- wie auch anderen Anbietern geht es of- Schwester habe das vorgemacht. Das prüfung ergeben habe. Auf den in der fenbar weniger darum, den individuel- bisherige betriebliche Vorschlagswesen Konfettikanone gelandeten Schnipseln len Tarif personengenau zu berechnen, hat die Gesellschaft ersetzt: Wer eine sollen auch Namen der Ärzte erkennbar sondern darum, das Fahrverhalten zu gute Geschäftsidee hat, bekommt für gewesen sein. beeinflussen. Dabei sollen Apps und die Umsetzung einen Etat und einen Ar- Das Krankenhaus hat den Landes- Vergleiche als spielerische Verkehrser- beitstag pro Woche. Zwei Ideen wurden datenschutzbeauftragten nach eigenen ziehung mit FahrerInnen aus derselben schon umgesetzt (Fromme, Das Smart- Angaben unverzüglich über den Vorfall Altersgruppe helfen. phone fährt mit, SZ 04.12.2015, 20). informiert. Hasse schickte noch am glei- Die Versicherer versuchen so, die chen Tag zwei Mitarbeiterinnen nach Schadenlast durch junge FahrerInnen zu Thüringen Dermbach, um den Vorfall vor Ort zu reduzieren. Zudem erlangen sie große untersuchen. Die Polizei ermittelt nach Datenmengen über das Fahrverhalten, Schlecht geschredderte eigenen Angaben nicht wegen des Vor- die langfristig in die Tarifierung ein- falls. Es liege keine Strafanzeige vor. so fließen können, und kommen mit ihren Krankenakten im Karne- ein Sprecher der Landespolizeiinspekti- KundInnen öfter in Kontakt als bisher, vals-Konfettiregen on Suhl. wo sie nur einmal im Jahr die Rechnung In Thüringen wird noch über den herausschicken und danach nur bei ei- Beim Straßenkarneval in Dermbach im Skandal um ein wildes Aktenlager im nem Schaden gefragt sind. Wartburgkreis sind zerschredderte Patien- nahe gelegenen Immelborn diskutiert. Demselben Ziel dient auch das Pilot- tenakten als Konfetti unters Volk gebracht Dort waren im Sommer 2013 unter an- projekt „Smartparking“, das die Axa in worden. Landesdatenschutzbeauftragte derem auch sensible Unterlagen aus Düsseldorf testet. Mit App und Plastik- Lutz Hasse bestätigte am 03.02.2016, Arztpraxen gefunden worden. Die Um- karte parken Versicherte des Unterneh- dass auf den nicht fachgerecht zerkleiner- stände des Aktenfunds und die Rolle mens in den meisten Parkhäusern Düs- ten Papierschnipseln personenbezogene des Thüringer Datenschutzbeauftrag- seldorfs ohne Parkschein und Bargeld. Daten wie Namen, Adressen und Tele- ten dabei beschäftigt einen Untersu- Die AutofahrerInnen erhalten digital fonnummern zu lesen waren. Eine An- chungsausschuss des Landtags (Kar- ständig eine genaue Übersicht, wo wie wohnerin hatte beim Straßenfegen nach neval vs. Datenschutz: Patientenakten viele Plätze frei sind. Partner ist dabei dem Karnevalsumzug zerschredderte aus der Konfetti-Kanone, www.heise.de das Start-Up Evopark. Patientenunterlagen gefunden, auf denen 11.02.2016).

Jetzt DVD-Mitglied werden: www.datenschutzverein.de

DANA • Datenschutz Nachrichten 2/2016 96 Nachrichten

Datenschutznachrichten aus dem Ausland

Dänemark hard Peters meinte: „Ich halte das für Eine sogenannte „Einigungskonferenz“ eine Belastung der deutsch-dänischen aus den beiden Räten hatte mehrheitlich Kfz-Kennzeichen-Scan- Beziehungen. Wir erleben einen Roll- dafür gestimmt, dass sog. „Telefonrand- back europäischer Freiheiten, der sich daten“ auch im Ausland gespeichert ning stößt auf deutsche gewaschen hat“. Auch SPD-Innenpo- werden dürfen. Bei den Randdaten han- Kritik litiker Kai Dolgner kritisierte, riet aber delt es sich um die Verkehrsdaten wie zu Zurückhaltung, „andere Länder an die Dauer eines Telefonats und wer mit Dänemarks Polizei richtet an den den eigenen Abwägungen zu messen“. wem telefoniert hat. Es geht also um die Grenzübergängen nach Deutschland und Patrick Breyer von den Piraten kanzelte Vorratsdatenspeicherung von Metada- weiteren Verkehrsknoten, an insgesamt die Maßnahme als unverhältnismäßige ten. Der Nationalrat hatte sich ursprüng- 24 Standorten, Kfz-Kennzeichen-Scan- Massenüberwachung ab. Der dänischen lich gegen das Speichern im Ausland geräte ein, mit denen alle passierenden Überwachung vergleichbare Kontroll- und für eine Speicherung ausschließ- Autos erfasst werden. Das Justizminis- maßnahmen an Hauptstraßen und Au- lich in der Schweiz ausgesprochen. Die terium des Landes rechnet damit, dass tobahnen gibt es auch in Frankreich, Schweizer Justizministerin Simonetta ca. 30 Mio. Kennzeichen pro Jahr erfasst den Niederlanden, Belgien, Italien und Sommaruga hatte zuvor betont, dass werden. Diese Daten werden mit Poli- Ungarn (Dänemark: Ab März wird jedes das Schweizer Datenschutzgesetz auch zeiregistern abgeglichen, etwa um ge- Auto digital erfasst, Schleswig-Holstei- dann gelte, wenn die Daten auf Servern stohlene Autos oder gesuchte Personen nische Landeszeitung 19.02.2016, 1, 4; im Ausland aufbewahrt würden. Eine aufzufinden. Erklärte Zielsetzung ist die Hiersemenzel, Minister wirft Dänemark Hürde war bereits zwei Wochen zuvor Bekämpfung der grenzüberschreitenden Misstrauen vor, Kieler Nachrichten genommen worden, als sich nach dem und der Banden-Kriminalität, aber auch 20.02.2016, 11). Ständerat auch der Schweizer National- das Aufspüren unversicherter Autos. rat gegen die ursprünglich vorgesehene Kennzeichendaten, bei denen es keine Ausweitung der Aufbewahrungsdauer Treffer beim Abgleich mit Polizeida- Schweiz von Vorratsdaten von sechs auf zwölf teien gegeben hat, werden nicht sofort, Monate ausgesprochen hatte. sondern erst nach 24 Stunden gelöscht, Überwachungsgesetz Grundsätzlich ging es der Regierung, in besonderen Fällen, etwa zwecks Er- beschlossen dem Bundesrat, bei der Revision darum, stellung bestimmter polizeilicher Lage- die gesetzlich erlaubten Überwachungs- bilder, erst nach 30 Tagen. Das Schweizer Parlament hat am möglichkeiten den aktuellen techni- Die Leiterin die Unabhängigen Lan- 18.03.2016 dem revidierten Gesetz zur schen Möglichkeiten anzupassen. Neu deszentrums für Datenschutz Schles- Überwachung des Post- und Fernmelde- vorgesehen ist im überarbeiteten BÜPF wig-Holstein, Marit Hansen, die in verkehrs (BÜPF) zugestimmt. Kritike- der Einsatz von technischen Überwa- dieser Frage sich mit ihren dänischen rInnen sehen in dem Gesetz eine mas- chungsgeräten wie beispielsweise IM- Kollegen austauschte, erklärte: „Aus sive Verschärfung der Überwachungs- SI-Catchern, aber auch von Abhör- und deutscher Sicht ist diese umfassende methoden in der Schweiz. Es erlaubt Richtmikrofonen. Beschlossen sind und verdachtslose Vorratsdatenspeiche- den Einsatz von Staatstrojanern und auch Antennensuchläufe, über die Mo- rung problematisch“. Nach einem Urteil „besonderen technischen Geräten“ bei biltelefonbesitzerInnen und ihre Rand- des Bundesverfassungsgerichts aus dem der Ortung von Handys. In der Schluss- daten identifiziert werden können und Jahr 2008 ist Kfz-Kennzeichen-Scan- abstimmung stimmten beide Kammern die bereits häufig für Ermittlungen ein- ning in Deutschland nur erlaubt, wenn des Parlaments – der National- und der gesetzt wurden. Gemäß Presseberichten Daten bei Nicht-Treffern sofort spuren- Ständerat – der Revision zu. Der Natio- hatten die Schweizer Strafbehörden im frei gelöscht würden. Den Anlass für das nalrat sprach sich mit 160 zu 23 Stim- Jahr 2015 die Handy-Daten von 124 An- Urteil hatte u. a. eine polizeirechtliche men bei 12 Enthaltungen dafür aus, der tennen abgefischt. Regelung von Schleswig-Holstein ge- Ständerat mit 41 zu 4 Stimmen. Wäh- Neu ist der Einsatz von „Staatstro- geben. Bis auf die CDU wendeten sich rend die Mehrheit der Sozialdemokra- janern“ oder „Government Software“, sämtliche Fraktionen im Landtag von tischen Partei (SP) und der rechtspopu- kurz GovWare. Strafverfolgungsbehör- Schleswig-Holstein gegen die Über- listischen Schweizer Volkspartei (SVP) den sollen die Trojaner in Computer wachung, so z. B. der innenpolitische mit „Ja“ stimmten, votierte die Fraktion einschleusen dürfen, um beispielswei- Sprecher der FDP Ekkehard Klug: „Es der Grünen dagegen. se verschlüsselte Gespräche mit Skype wird Bürger geben, die auf eine Fahrt Für die Abstimmung waren im Vorfeld und ähnlichen VoIP-Diensten mithören nach Dänemark verzichten, sofern es für die letzten Differenzen zwischen den zu können. Erlaubt sein soll nicht die sie nicht unabdingbar ist.“ Der rechts- beiden Parlamentskammern aus Stän- präventive Überwachung, sondern al- politische Sprecher der Grünen Burk- de- und Nationalrat ausgeräumt worden. lein die Überwachung im Rahmen von

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 97 Nachrichten

Strafverfahren. Staatstrojaner sollen nur nismäßig seien. Bei kontrollierten Pas- hörden verlangen schon seit längerem, zur Aufklärung schwerer Straftaten ein- sagieren werden mit einem Lesegerät dass Google nach europäischem Recht gesetzt werden. die Daten eines RFID-Chips auf dem beanstandete Suchergebnisse weltweit Der überwachungskritische Verein Swiss Pass ausgelesen, online übermittelt herausfiltert. Der Europäische Gerichts- „Digitale Gesellschaft“ leitet aus dem und 90 Tage in einer Kontrolldatenbank hof hatte im Mai 2014 entschieden, dass Gesetz jedoch ab, dass Staatstrojaner aufbewahrt. Unter anderem werden die Suchmaschinen Links zu bestimmten auch zur Verfolgung von Bagatellde- Uhrzeit, die Zugnummer und die Aus- Inhalten aus ihren Ergebnisseiten lö- likten eingesetzt werden können. Er weisnummer des Swiss Pass gespeichert. schen müssen, wenn sich eine NutzerIn kämpft mit einer Beschwerde beim Laut dem Datenschutzbeauftragten wa- in ihren Persönlichkeitsrechten verletzt Bundesverwaltungsgericht gegen die ren in der Datenbank Mitte Oktober 2015 sieht. Mit dem Urteil blieben aber viele Vorratsdatenspeicherung. Diese soll ge- – rund zweieinhalb Monate nach der Ein- Detailfragen offen. gebenenfalls bis zum Europäischen Ge- führung des Swiss Pass – schon 3,2 Mil- Google war der Kritik teilweise entge- richtshof für Menschenrechte (EGMR) lionen Einträge gespeichert. gengekommen und hatte angekündigt, weitergetragen werden. Die Schweizer Walter berichtet, dass in den Medien die fraglichen Links im Land des An- Piratenpartei hat angekündigt, ein Re- „vor allem die Befürchtung ausgespro- tragstellers auch auf nicht-europäischen ferendum gegen die Änderungen in die chen wird, dass aus den Kontrollda- Google-Seiten zu löschen. Werden also Wege leiten zu wollen. Werden für ein ten Bewegungsprofile erstellt werden Treffer zum Beispiel auf Forderung ei- solches Referendum 50.000 Stimmen könnten.“ Bei bestimmten Personen ner Person aus Deutschland ausgeblen- gesammelt, könnte am Ende also das könne solch ein, wenn auch nicht de- det, sind auch auf der bolivianischer Sei- Stimmvolk über die Zukunft des neuen tailliertes, Bewegungsprofil durchaus te google.bo die beanstandeten Einträge Überwachungsgesetzes entscheiden. Sie entstehen. Er habe auch viele Anfragen in Deutschland nicht zu sehen – von Bo- verweist darauf, dass das Gesetz den besorgter BürgerInnen erhalten und livien aus oder in anderen europäischen Quellenschutz für Ärzte, Anwälte und musste oft klarstellen, dass er das Pro- Ländern aber schon. Journalisten aushebelt; der Einsatz von jekt Swiss Pass weder genehmigt noch Dies genügt der CMIL mit Sitz in Staatstrojanern sei teuer und nutzlos bewilligt habe. Paris nicht aus. Sie verweist unter an- (Sperlich, Schweizer Parlament stimmt Gemäss VöV und SBB dient die Kon- derem darauf, dass Internetnutzer diese Verschärfung des Überwachungsgesetz trolldatenbank vor allem dazu, etwaige Geo-Blockade mit technischen Mitteln zu, www.heise.de 19.03.2016). Kundenanliegen im Nachgang zu einer umgehen könnten. Google kann gegen Reise zu beantworten. Auch die weite- die Strafe Einspruch einlegen (Recht auf Schweiz ren von SBB und VöV vorgebrachten Vergessen: Französische Datenschützer Gründe überzeugten den Datenschutz- verhängen Geldstrafe gegen Google, Datenschutzbeauftrag- beauftragten nicht, weshalb er den VöV www.heise.de 24.03.2016). und die SBB aufforderte, die Kontroll- ter fordert Löschung von daten unverzüglich zu löschen und den Bahnpassagierdaten Betrieb der Datenbank einzustellen. Türkei Laut Medienberichten haben die SBB Der kommissarisch im Amt befind- ein offenes Ohr für den EDÖB: Der Wahlregister von 2008 im liche Schweizer Datenschutz- und Datenschutz sei für die SBB zentral. Internet veröffentlicht Öffentlichkeitsbeauftragte (EDÖB) Die Empfehlung des Datenschützers Jean-Philippe Walter verlangt von den würden ernst genommen (Sperlich, Unbekannte haben personenbezogene Schweizer Bundesbahnen (SBB) und Schweiz: Datenschützer fordert Lö- Daten von über 49,6 Millionen türki- dem (Branchen-)Verband öffentlicher schung von Passagierdaten der Schwei- schen BürgerInnen im Netz veröffent- Verkehr (VöV) die Daten zu löschen, die zerischen Bundesbahnen, www.heise.de licht. Darunter befinden sich der Name, bei Kontrollen des „Swiss Pass“ im Zug 18.02.2016). die Adresse, Namen der Eltern, Geburts- gesammelt werden. Dabei handelt es datum und -ort sowie die nationale Iden- sich um eine Kundenkarte des VöV, die Frankreich tifikationsnummer (Türkiye Cumhuri- Sommer 2015 eingeführt wurde. Ohne yeti Kimlik Numarası). Der Datensatz sie können bei der SBB keine Abonne- CNIL fordert per Bußgeld soll zuvor schon an Interessenten zum ments oder Fahrausweise zum halben Kauf angeboten worden sein. Bei dem Preis erworben werden. Sie dient als von Google weltweites knapp 6,6 GB großen SQL-Dump erga- Fahrausweis. Sehr viele SBB-KundIn- Sperren von Inhalten ben stichprobenartige Prüfungen Über- nen nutzen sie zudem für Partnerdienst- einstimmungen mit echten Daten türki- leistungen wie etwa als Skipass oder für Die französische Datenschutzbehörde scher BürgerInnen. Allerdings scheint Programme zur Kundenbindung. CNIL hat gemäß einer Mitteilung vom das Leak nur türkische BürgerInnen zu Walter kritisierte, dass die bei den 24.03.2016 im Streit über das „Recht betreffen, die sich spätestens 2008 als Fahrscheinkontrollen durchgeführten auf Vergessenwerden“ in Internet eine Wähler registriert hatten. Mit den in der Datenbearbeitungen keine gesetzliche Geldstrafe von 100.000 € gegen Google Datenbank enthaltenen Daten ist es nach Grundlage haben und zudem unverhält- verhängt. Europäische Datenschutzbe- Ansicht von türkischen Beobachtenden

DANA • Datenschutz Nachrichten 2/2016 98 Nachrichten

möglich, Betrügereien zu Lasten der länger benötigt“. Per Gerichtsanord- 3. Es sollte sichergestellt werden, dass Opfer zu begehen. Besonders die nati- nung hatte dieses zuvor Apple aufgefor- zwischen den vom FBI versuchswei- onale Identifikationsnummer eigne sich dert, FBI-Ermittlern dabei zu helfen, an se eingegebenen Zahlencodes keine in Zusammenhang mit Geburtsdatum Daten zu kommen, die auf dem iPhone Verzögerungen entstehen. und Adresse oft, um sich als die jewei- 5C von Seyd Farook gespeichert sind. lige Person auszugeben. Auch lässt sich Farook hatte am 02.12.2015 gemeinsam Mit anderen Worten: Apple sollte dem die Datenbank einfach zur Adressermitt- mit seiner Frau Tashfeen Malik bei ei- FBI helfen, den PIN-Code des iPhone lung nutzen, vorausgesetzt die Person ist ner Weihnachtsfeier in San Bernadino 5C mit einem Brute-Force-Angriff zu seit 2008 nicht umgezogen. 15 Menschen getötet, bevor beide bei knacken. Die Ermittler hatten auch kon- Vor dem öffentlichen Leak sollen die einem Schusswechsel mit der Polizei krete Vorstellungen über das Vorgehen: Daten bereits als verschlüsselte Datei selbst getötet wurden. Apple sollte eine iOS-Version bereit- die Runde gemacht haben und in dieser Zuvor hatten FBI-Experten zunächst stellen, die die oben geforderten Funk- Form zum Kauf angeboten worden sein. erfolglos versucht, an die Daten her- tionen enthält. Beim Aufspielen dieser Gegen Bezahlung habe man so mit ei- anzukommen. Sie wollen das Attentat Software sollte das bereits installierte nem speziellen Nutzerinterface einzelne rekonstruieren und herausbekommen, iOS nicht verändert werden. Stattdessen Anfragen entschlüsseln können. Nun ob die beiden Komplizen hatten. Ihr sollte die Software im Arbeitsspeicher scheint jemand die gesamte Datenbank Problem ist eine Technologie, die Apple des Geräts installiert und so modifiziert geknackt zu haben oder die ursprüngli- und Google 2014, als Reaktion auf die werden, dass sie nur auf diesem einen chen Hacker haben genug an der Daten- Snowden-Enthüllungen, eingeführt ha- Gerät lauffähig ist. Sollte der Konzern bank verdient, um sie aus der Hand zu ben: Mit iOS 8 beziehungsweise Andro- aber eine bessere Idee haben, wie die geben. Sicher scheint zu sein, dass die id 5 führten beiden Firmen eine automa- Aufgabe zu bewältigen wäre, dürfe er Daten aus dem Merkezi Nüfus İdaresi tische Verschlüsselung des Handyspei- gern einen Vorschlag machen. Sistemi (MERNİS) stammen, der zen- chers ein. Diese Verschlüsselung lässt Da dieses Vorgehen mit einigem Auf- tralen Einwohnermelde-Datenbank der sich nur mit der korrekten PIN entsper- wand verbunden gewesen wäre, wurde türkischen Regierung. ren und lesbar machen. Früher ließen Apple in der gerichtlichen Anordnung Augenscheinlich ist die Veröffent- sich solche Sperren durch sogenannte aufgefordert, „angemessene Kosten“ lichung politisch motiviert. Auf der Brute-Force-Angriffe überwinden: Man zu nennen. Außerdem wurde Apple in Seite mit dem Datendump protestieren probierte einfach alle nur denkbaren Punkt 7 ermöglicht, binnen fünf Werk- die Hacker gegen den türkischen Re- Zahlenkombinationen durch, bis man tagen einen Antrag zu stellen, von der gierungschef Erdoğan und haben unter die richtige findet. Dies funktioniert mit Anordnung entbunden zu werden, wenn anderem dessen persönliche Daten als aktuellen iPhones nicht mehr. Zum einen es diese für „unzumutbar beschwerlich“ Beispiel hervorgehoben. Es ist aber auch blockiert eine Sperrfunktion das schnel- halte, was Apple dann auch tat. von Donald Trump die Rede; und das in le Ausprobieren von Zahlenkombinatio- einer Formulierung, die den Eindruck nen. Nach mehreren Fehlversuchen baut - Die Reaktion Apples erweckt, die Hacker wären aus den das System immer längere Pausen ein, USA, wobei dies auch ein Verschleie- sodass man schließlich mehrere Stun- Am 17.02.2016 veröffentlichte App- rungsversuch der wahren Motive der den warten muss, um den nächsten Code le-Chef Tim Cook einen offenen Brief Täter sein kann (Scherschel, Persönli- zu versuchen. Vor allem aber gibt es in an seine KundInnen. Man habe nach che Daten von 49 Millionen türkischen iOS die Option, den Speicher nach zehn den Anschlägen von San Bernadino eng Wählern veröffentlicht, www.heise.de Fehlversuchen automatisch löschen zu mit den Behörden zusammengearbeitet, 04.04.2016). lassen. Diese Option könnte beim Han- bei den Ermittlungen geholfen und dem dy des Attentäters aktiviert worden sein. FBI alle geforderten Daten übermit- Die FBI-Experten haben ihre Versuche, telt. Sogar Apple-Ingenieure habe man USA die PIN zu erraten, offenbar eingestellt, als Berater bereitgestellt. Nun verlan- FBI gegen Apple – um nicht Gefahr zu laufen, dass eben ge die US-Regierung aber etwas, „das das passiert und möglicherweise nütz- wir für zu gefährlich halten“: „Man hat Kryptokontroverse liche Daten des Täters verloren gehen. uns aufgefordert, eine Hintertür für das unentschieden Gemäß der Gerichtsanordnung sollte iPhone zu bauen.“ Im Grunde sei es Apple den Ermittlern helfen, „drei wich- eine um wichtige Sicherheitsfunktio- - Der Gerichtsbeschluss tige Funktionen bereitzustellen“: nen bereinigte iOS-Version, die sich die Ermittler wünschen. „In den falschen Am 29.03.2016 teilte das US-Justiz- 1. Die automatische Löschfunktion soll­ Händen könnte diese Software – die es ministerium dem zuständigen US-Rich- te deaktiviert oder umgangen werden, bis heute nicht gibt – potenziell jedes ter in Kalifornien mit, dass die US-Bun- egal ob sie aktiviert ist oder nicht. iPhone entschlüsseln.“ Eine Garantie, despolizei FBI die per Gerichtsanord- 2. Es sollte ermöglicht werden, Zahlen- dass eine solche Software nur in die- nung eingeforderte Unterstützung des codes digital an das Handy zu über- sem einen Fall genutzt würde, könne IT-Unternehmens Apple für die Entsper- tragen, statt sie händisch auf dem man nicht geben. Was das FBI fordere, rung des Handys eines Straftäters „nicht Bildschirm eintippen zu müssen. „würde genau die Rechte und die Frei-

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 99 Nachrichten

heit unterminieren, welche die Regie- Tests“ durchführen. Die EFF verglich bar mit den übrigen Mitgliedern der rung beschützen soll“. die Anordnung mit einer Aufforderung „Intelligence Community“ – also der Letztlich werde Apple aufgefordert, an einen Autobauer, „einen neuen Lkw Gesamtheit der US-Geheimdienste – seine eigenen NutzerInnen zu hacken, mit einem fünften Rad binnen eines abgesprochen. So gab CIA-Chef John seine eigenen Sicherheitsvorkehrungen Monats zu fertigen“. Theoretisch wäre Brennan der US-TV-Sendung „60 zu schwächen und iPhone-AnwenderIn- dies sicher möglich, würde aber viel Minutes“ eines seiner seltenen Inter- nen hohen Risiken auszusetzen. Wür- Zeit und Geld verschlingen. Letztlich views, in dem er behauptete, man habe de Apple tatsächlich dazu gezwungen, habe es sich in der Vergangenheit aber „Tage vor“ den Anschlägen von Paris könnte die Regierung diese Schwäche auch immer als „Sicherheitsalbtraum“ im November 2015 erfahren, dass der ausnutzen, um „Ihre Nachrichten, Ge- herausgestellt, Backdoors zu bauen und „Islamische Staat“ „eine Aktion durch- sundheitsdaten und Finanzdaten ab- Verschlüsselung zu umgehen, wie es zuführen versuchte“. Die beteiligten zufangen, Ihren Aufenthaltsort festzu- das Gericht und die Regierung wünsch- Personen hätten jedoch „von neuen stellen oder sogar die Kamera und das ten. Es sei auch davon auszugehen, Kommunikationsmitteln Gebrauch Mikrofon Ihres iPhones unbemerkt zu dass das Crack-Programm nicht nur machen können“, die „den Strafverfol- aktivieren“. Apple meinte zudem, ein in dem einen Fall angewendet würde. gungsbeamten verschlossen sind“. Auf Gericht in Kalifornien sei nicht der rich- Vielmehr sei das Drängen der Sicher- Nachfrage präzisierte Brennan: Ja, er tige Ort, um den Konflikt um die -Ver heitsbehörden vorprogrammiert, die spreche von Verschlüsselung. Belege schlüsselung zu lösen und kündigte an, Software auf andere Geräte anzupassen blieb er in beiden Fällen schuldig. Tat- sich an den Kongress in Washington zu und die Amtshilfe deutlich auszuwei- sächlich konnte die Polizei die Attentä- wenden. ten. ter damals offenbar abhören. Außerdem Apples Position wurde von mehr als hatten die Ermittler anscheinend ohne 30 Internet-Unternehmen, u. a. von - Die Begehrlichkeiten der „Intelli- Probleme ein Handy ausgewertet, das Facebook, Google, Microsoft, Ama- gence Community“ die Täter benutzt hatten. zon, Ebay und Intel in einem Brief an In einer Replik auf den Einspruch das Gericht unterstützt. Sie verwiesen Apple legte es also auf eine Konfron- von Apple erklärten die US-Justizver- darauf, dass auch weniger demokrati- tation mit der Regierung an und hoffte treter, die Unterstützung durch Apple sche Staaten das Knacken von Geräten darauf, die öffentliche Meinung für sich gegenüber dem FBI, „bedeutet nicht verlangen könnten. Zudem könne der gewinnen und die Regierung zu einer das Ende der Privatheit“. Dass sich der Vorgang ein juristischer Präzedenzfall Umkehr bewegen zu können. Dass das IT-Konzern aus Cupertino dem Begehr sein, generell zum Einbau von Überwa- FBI gerade zu diesem Zeitpunkt mit entgegenstelle, beruhe scheinbar „auf chungstechnik oder Hintertüren in ihre einer derartigen Forderung an Apple seiner Sorge um sein Geschäftsmodell Geräte oder Software gezwungen zu herantrat, war wohl kein Zufall. Die und seiner öffentlichen Marketingstra- werden. Unterstützung für Apple kam Behörde wollte offenbar die öffentliche tegie“. Apple habe „zu keinem Zeit- zudem von Yahoo, AT&T, Cisco, Box, Stimmung im Nachgang des Anschlags punkt gesagt, dass es nicht die techni- Dropbox, Snapchat, Pinterest, Mozilla von San Bernardino ausnutzen. Gemäß schen Fähigkeiten habe, der Weisung und Whatsapp. US-Staatsanwälte hatten Presseberichten soll Apple darum gebe- Folge zu leisten“. Bereits Anfang März schon signalisiert, dass sie viele, nicht ten haben, die FBI-Anfrage nicht öffent- 2016 schaltete sich der frühere NSA- nur von Terroristen stammende Handys, lich zu stellen, so wie dies üblich ist. Im Mitarbeiter und Whistleblower Edward von Apple geöffnet bekommen wollen. März 2016 liefen demnach in den USA Snowden in die Debatte ein und erklärte In die Diskussion schaltete sich auch neun Prozesse, bei denen es um das Ent- die FBI-Behauptung, ohne Apples Hilfe der UN-Hochkommissar für Menschen- sperren von zwölf Apple-Geräten ging. keinen Zugriff auf das Gerät bekommen rechte Said Raad al-Hussein ein. Die Doch machte das FBI den San-Bernadi- zu können, für „Bullshit“. US-Regierung riskiere, dass die „Büch- no-Fall öffentlich und provozierte damit se der Pandorra“ geöffnet werde: „Ich die deutliche Antwort von Apple-Chef - Hilfe von Cellebrite? ersuche alle Betroffenen, nicht nur auf Tim Cook. den unmittelbaren Wert, sondern auch Schon im August 2015 wurde von der Am 23.03.2016 berichteten Medi- auf die potenziell größere Auswirkung Presse ein Schreiben von Robert Litt zi- en, dass das FBI zur Entsperrung des zu achten.“ tiert, der für das Büro des US-Geheim- Handys des erschossenen Attentäters Unterstützung kam auch von der dienstdirektors arbeitet, worin er er- von San Bernardino die Hilfe der isra- US-Bürgerrechtsorganisation Elect- klärt, dass das „legislative Umfeld“ für elischen Firma Cellebrite in Anspruch ronic Frontier Foundation (EFF): „Si- Anti-Verschlüsselungs-Gesetzgebung nimmt. Die US-Bundespolizei hatte chere Software zu schreiben ist im- derzeit zwar „sehr feindselig“ sei, dass eine für für den Tag zuvor anberaumte mer schwierig“. Dies gelte vor allem sich das aber „im Fall eines Terroran- Anhörung kurzfristig abgesagt, da eine für ein tief ins System eingreifendes schlags oder eines Verbrechens ändern „außenstehende Partei“ dem FBI eine Programm, das eng mit der Hardware könnte, wenn dabei nachgewiesen wer- „mögliche Methode“ zum Entsperren interagiere. Bevor Apple eine solche den kann, dass starke Verschlüsselung des Gerätes präsentiert habe. Cellebri- Software signieren und freigeben kön- die Strafverfolger behindert hat“. te hat eine Technik namens Universal ne, müsste der Konzern auch „strenge Das Vorgehen des FBI war offen- Forensic Extraction Device (UFED)

DANA • Datenschutz Nachrichten 2/2016 100 Nachrichten

entwickelt, mit der Datenextraktion - Offenlegungspflicht der Ermitt- ab, www.heise.de 20.02.2016; Apple aus Mobilgeräten möglich sein soll, lungsbehörden? will Kongress anrufen, SZ 22.02.2016, und bietet die eigenen Dienstleistun- 19; Wir sind Apple, SZ 05./06.03.2016, gen Strafverfolgungsbehörden weltweit Diskutiert wird nun, ob das FBI sei- 24; Boie, FBI will iPhone alleine kna- an. Nach eigenen Angaben besitzt die nen erfolgreichen Zugriff auf die Daten cken, SZ 23.03.2016, 7; Becker, Terro- Firma die Fähigkeit, bestimmte iPho- des iPhones und die dabei eingesetzte risten-iPhone: Israelische Firma hilft nes und iPads mit iOS 8 zu entsperren Methode gegenüber Apple offenlegen FBI angeblich beim Entsperren, www. – „ohne Hardware-Eingriff und dem Ri- muss: Liegt eine Sicherheitslücke zu- heise.de 23.03.2016; Brühl, Codekna- siko einer Datenlöschung“. Möglich ist grunde, müsste diese möglicherweise cker gegen Apple, SZ 24./25.03.2016, dies angeblich nur bei älteren Geräten, von einem Gremium der US-Regierung 25; Martin-Jung, Apple trotzt dem FBI, darunter fällt aber auch das iPhone 5c geprüft werden. Es entscheidet, ob sol- SZ 30.03.2016, 1; Hacker helfen FBI, aus San Bernardino, auf dessen Daten che Schwachstellen geheimgehalten und SZ 14.04.2016, 9). das FBI zugreifen will. Demnach hat von den Behörden ausgenutzt werden die Firma inzwischen auch eine Metho- können – oder zur Sicherheit der Nutzer USA de gefunden, iOS 9 – zumindest auf äl- die betroffenen Anbieter informiert wer- terer Hardware – zu entsperren. Deren den sollten. Entschlüsselung von Einsatz war, so die Nachricht des US- Ein früherer Vize-Chef des Abhör- Justizministerium vom 29.03.2016, an- dienstes NSA erklärte gegenüber der Smartphones bei FBI geblich erfolgreich. Presse, die FBI-Methode sollte aus Routine Cellebrite gehört seit 2007 zum japa- seiner Sicht diesem „Equities Review“ nischen Elektronikkonzern Sun Corpo- unterworfen werden. Ein früherer rang- Die Ermittler des US-amerikanischen ration. Das Unternehmen wirbt damit, hoher FBI-Experte für Cybersicherheit Justizministeriums verlangen nicht nur „15.000 Nutzer in Strafverfolgung und betonte jedoch, die Behörden seien nicht von Apple (siehe oben) Hilfe beim Ent- Militär“ zu haben. So ist nachvollzieh- verpflichtet, Schwachstellen offenzu- schlüsseln von Smartphones. Die Bür- bar, dass das Unternehmen der kroati- legen, wenn sie nicht weithin bekannt gerrechtsorganisation American Civil schen Regierung Technik bereitstellte, sowie nicht einfach zu missbrauchen Liberty Union (ACLU) legte offen, dass um Kinderpornos auf sichergestellten seien. Gemäß Presseberichten hatte die das FBI auch Google dazu bringen will Geräten zu finden. Auch die sächsische Regierung bisher den Großteil der er- bzw. wollte, Zugang zu verschlüsselten Polizei setzt Produkte von Cellebrite ein, kannten Sicherheitslücken offengelegt. Geräten zu erlangen. Nachdem bekannt um die 150 Handys, Laptops und Spei- So seien in einem Jahr nur etwa zwei geworden ist, dass Apple mindestens cherkarten zu analysieren, die sie 2015 von rund Hundert überprüften Schwach- 70 Anordnungen nachgekommen ist, in einer umstrittenen Aktion auf einer stellen zurückgehalten worden. iPhones zu knacken, hat sich ACLU linken Demonstration beschlagnahmt Sicherheitsforscher wie Jonathan Zd- auf der Suche nach den Fällen gemacht hatte. Das bayerische Landeskriminal- ziarski spekulieren, dass für den Brute- und bisher in 22 US-Bundesstaaten 63 amt kaufte Sommer 2015 14 UFED-Li- Force-Angriff auf die iOS-Codesperre gefunden, bei denen die Ermittler seit zenzen von der Firma für 377.000 € incl. respektive PIN zur Spiegelung des dem Jahr 2008 nach dem All Writs Act Wartung. Die deutsche Niederlassung NAND-Chips (NAND mirroring) ge- von 1789 mit Hilfe des Anbieters auf von Cellebrite ist jüngst von Paderborn griffen wurde. Dabei werden die ver- verschlüsselte Daten zugreifen wollten. nach München umgezogen. schlüsselten Daten des Flash-Speichers In mindestens neun Fällen war Google Später wurde in der Presse mitgeteilt, auf unterster Ebene dupliziert. Werden involviert. Dabei ging es hauptsächlich das FBI habe eine bei Hackern gekaufte die Daten dann nach dem Durchprobie- um Ermittlungen wegen Drogenverge- Schwachstelle ausgenutzt, um das iPho- ren mehrerer falscher PIN-Kombinati- hen. ne zu knacken. Es sei eine bisher unbe- onen automatisch gelöscht, könne man Zu den 63 bestätigten Gerichtsver- kannte Sicherheitslücke gewesen, wel- die Kopie wieder auf dem Original-Chip fahren kommen 13 weitere Fälle, die che die Ermittler für eine Einmalzah- einspielen und das Prozedere von vor- ACLU zu Gehör gekommen sind; 12 lung mitgeteilt bekommen hätten. Die ne beginnen. Auch sei denkbar, nur den davon habe Apple erwähnt, allerdings Dienste der Firma Cellebrite seien also Teil des Chips zu kopieren, auf dem die seien deren Aktenzeichen nicht bekannt; nicht benötigt worden. FBI-Chef James PIN-Eingabe-Versuche gespeichert wer- in einem weiteren Fall gebe es zu wenig Comey wurde zitiert, das bei dem iPho- den. Nach mehreren erfolglosen Durch- öffentliche Informationen. Die Bürger- ne 5c eingesetzte Verfahren funktioniere gängen könne dann die Originalversion rechtler kritisieren das FBI dafür, ange- nicht bei neueren Modellen und auch wieder eingespielt und können die Ver- geben zu haben, den All Writs Act nur nicht beim technisch etwas anspruchs- suche fortgesetzt werden (Kremp, iPho- in besonderen Verfahren anzuwenden. volleren iPhone 5s. Die Behörden hätten ne-Entschlüsselung: Apple widersetzt Es habe sich gezeigt, dass dies fast zur noch nicht entschieden, ob Apple über sich FBI-Forderung, www.spiegel.de Gewohnheit geworden sei. Die ACLU die Hacking-Methode unterrichtet wer- 17.02.2016; Martin-Jung, Code der Frei- will ihre Recherchen fortsetzen (Wil- den soll, was dem Konzern die Möglich- heit, SZ 18.02.2016, 1; Krempl, iPhone- kens, Auch Google soll dem FBI helfen, keit geben würde, die Schwachstelle zu Entsperrung: US-Justizministerium tut Smartphones zu knacken, www.heise.de schließen. Apples Datenschutzkurs als Marketing 30.03.2016).

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 101 Nachrichten

USA Verweildauer auf bestimmten Inhalten USA werden gemäß der New York Civil Li- New York etabliert berties Union (NYCLU) ab Login bis Interministerieller zu zwölf Monate gespeichert, wie sie WLAN-Netz ohne in einem Brief an Bürgermeister Bill Federal Privacy Council Datenschutz de Blasios Rechtsabteilung kritisiert. gegründet Da viele NutzerInnen sich täglich ein- New York will alle EinwohnerIn- loggen könnten, ließen Datenschutz- Der US-Präsident Barack H. Obama nen und BesucherInnen der Stadt mit richtlinien sogar eine Hintertür offen, hat eine Woche nach Verlautbarung zum einem kostenloses Drahtlos-Netzwerk um die Daten letztlich auf unbestimm- EU-U.S.-Privacy-Shield Anfang Febru- mit 10.000 WLAN-Säulen in Höchst- te Zeit zu speichern: „Eine massive ar 2016 eine interministerielle Arbeits- geschwindigkeit beglücken. Die Ma- Datenbank dieser Art schafft ein un- gruppe, den Federal Privacy Council cher schwärmen schon jetzt von der angemessenes Risiko für Missbrauch (Bundes-Datenschutzrat) geschaffen. Er „Telefonzelle von morgen.“ Die Ein- und unerlaubten Zugang“. Die Gefahr soll das Vertrauen des Volkes in die Da- richtung soll stadtweit in den nächsten besteht sowohl in möglichen Sicher- tenverwaltung der nationalen Behörden acht Jahren erfolgen. Einheimische heitslücken wie auch im uferlosen stärken sowie deren Datenschutz ver- wie TouristInnen sollen sich mit ihrem Zugriff durch Regierung und Polizei, einheitlichen. Der Rat besteht zumin- Smartphone oder Tablet im Umfeld so NYCLU-Direktorin Donna Lieber- dest aus den Datenschutzbeauftragten von 45 Metern zur Säule umsonst in man: „Die privaten Online-Aktivitäten der Ministerien und anderer wichtiger das WLAN einloggen können; teils der New Yorker sollten nicht genutzt Bundeseinrichtungen. In dem Anfang reicht das Signal bis zu 120 Meter werden, um eine massive Datenbank Februar 2016 erlassenen präsidentiel- weit. An USB-Anschlüsse zum Auf- in direkter Reichweite (der Polizei) len Dekret heißt es: „Das ordentliche laden von Akkus wurde auch gedacht. NYPD zu erzeugen“. Die NutzerIn- Funktionieren der Verwaltung braucht Nicht nur für TouristInnen, die sich nen gäben ihre politischen Ansichten, das Vertrauen der Öffentlichkeit. Und bei ihrem digitalen Stadtrundgang von religiösen Überzeugungen oder Infor- um dieses Vertrauen zu bewahren, muss Café zu Café hangeln müssen, um den mationen über ihre Gesundheit und die Verwaltung danach streben, die Weg zum Museum oder Restaurant Familie preis. höchsten Standards für die Sammlung, nachzuschlagen, soll den Service zu- Durch an den Säulen integrierte Ka- Verwahrung und Verwendung personen- gute kommen, sondern vor allem den meras und sogenannte Umweltsensoren bezogener Daten aufrechtzuerhalten. New YorkerInnen selbst, die ihr Mo- entsteht der Eindruck, dass das ohnehin Datenschutz war ein Kern unserer De- bilgerät oft kaum aus der Hand legen schon stark überwachte New York ei- mokratie von Anfang an. Und wir brau- und dauerhaft online zu sein scheinen: nen weiteren Schritt in Richtung Big chen ihn mehr als je zuvor.“ Er ordnete Mehr als ein Viertel aller Haushalte in Brother macht. Weder die Kameras zudem die Ausarbeitung neuer Richt- der schnelllebigen Millionenmetropo- noch Sensoren, die etwa die Tempera- linien und Anforderungsprofile für die le haben laut einer Studie von Ende tur und Umgebungsgeräusche registrie- höchsten Datenschutzbeauftragten der 2014 zu Hause keinen Zugang zum ren sollen, sind gemäß LinkNYC-Ma- Bundeseinrichtungen an, was spätestens Breitband-Internet. nagerin Jen Hensley derzeit in Betrieb. Anfang Juni 2016 erledigt sein soll. Selbst wer kein Smartphone hat, kann Wann oder wofür genau sie eingesetzt Der Federal Privacy Council (FPC) in New York an den drei Meter hohen werden sollen, sagt sie nicht. tagt unter dem Vorsitz eines hochran- Säulen über ein integriertes Display Die NYCLU fürchtet, dass diese In- gigen Beamten des Weißen Hauses und umsonst surfen, in einem Kartendienst formationen direkt an die Polizei oder besteht aus mindestens 24 Mitgliedern. nach dem Weg suchen oder umsonst das stadtweite System zur Terrorabwehr Darunter sind neben den höchsten Da- innerhalb der USA telefonieren – per weiterfließen. Problematisch erscheint tenschutzbeauftragten der Ministerien Lautsprecher oder dank Kopfhörer- auch ein weiterer Aspekt: Hinter dem etwa auch jener des Büros des Nationa- Eingang auch mit Headset. Und: Wer Konsortium Citybridge, das die Säulen len Geheimdienstdirektors, der NASA auf den roten Knopf drückt, wird um- mit digitalen Werbetafeln finanzieren oder der Nationalen Wissenschaftstif- gehend mit der Notrufzentrale verbun- will, steht unter anderem das Unterneh- tung. Diese Einrichtungen sollen zudem den. Die ersten Säulen in Manhattan men Intersection. Das wiederum gehört Strukturen für eine bessere Zusammen- laufen bereits, andere Stadtteile sollen zu Sidewalk Labs, das seinerseits von arbeit miteinander schaffen. Der neue folgen. 500 Stück sollen Sommer 2016 einem Konzern gegründet wurde, der Datenschutzrat selbst soll sich mit einer in Betrieb sein, mehr als 250 Geräte wegen seiner riesigen Datenbestände Vielzahl anderer Räte koordinieren, zu- können einen Kiosk jeweils gleichzei- schon lange in der Kritik steht und der forderst dem Federal Chief Information tig nutzen. seinen Kartendienst gleich mit in die Officers Council. Statt Doppelgleisig- Für DatenschützerInnen ist das kos- Säulen verbaut hat: die Google-Mutter- keiten wünscht der Präsident fruchtbare tenlose WLAN-Netz dagegen alles gesellschaft Alphabet (Schmitt-Tegge, Zusammenarbeit und eine „effektive, andere als eine Freude. Die zum Lo- Datenschützer warnen vor kostenlosem effiziente und einheitliche Implementie- gin notwendigen E-Mail-Adressen WLAN in New York, www.heise.de rung von Datenschutzrichtlinien in der der UserInnen, besuchte Websites und 31.03.2016). gesamten Bundesverwaltung.“

DANA • Datenschutz Nachrichten 2/2016 102 Nachrichten

Das Dekret nennt vier Funktionen des automatisch gelöscht werden. So hätten ten auf 7,6 Mio. US-Dollar bewertet. FPC: 1. Die Ausarbeitung von Empfeh- die Bewerteten die Möglichkeit, sich Auf ihrer Homepage erklären die Ma- lungen für Datenschutzrichtlinien und „zum Besseren zu verändern“. cherinnen: „Egal ob ihr unser Konzept -anforderungen, 2. die Koordination Die Macherinnen haben insgesamt mögt oder nicht; wir heißen trotzdem und das Teilen von Ideen, Best Practi- drei Kategorien vorgesehen, in die das jeden willkommen, dieses Online-Dorf ces, und Zugängen zu Datenschutz und Verhältnis zu den Bewertenden einge- voller Liebe und Überfluss für alle zu für die Implementierung angemessenen ordnet werden soll: beruflich, persönlich erkunden“ (Werner, Pranger-Portal, SZ Schutzes, 3. die Evaluierung von und und romantisch. „Schlechtes Verhalten“ 08.03.2016, 1; Holland, Peeple: Aufruhr Empfehlungen für die Bedürfnisse der wie Beleidigungen werden in den Nut- um App zum Bewerten von Menschen, Bundesverwaltung hinsichtlich Anstel- zungsbedingungen untersagt. Rassis- www.heise.de 01.10.2015). lung, Ausbildung und professioneller mus, Sexismus und Schimpfwörter sind Weiterbildung in Datenschutzbelangen, gemäß den Teilnahmebedingungen ver- und schließlich 4. die Durchführung an- boten. Nutzende können Derartiges mel- USA derer Funktionen mit Bezug zu Privat- den. Die Betreiber entscheiden dann, ob sphäre (von BürgerInnen) nach Vorgabe die NutzerIn und ihre Bewertung ge- Firmen drängen Beschäf- des Vorsitzenden (Sokolov, US-Daten- sperrt wird. Die NutzerInnen selbst ha- tigte zu Gesundheitstests schutz: Obama gründet Federal Privacy ben nur Einfluss auf Bewertungen und Council, www.heise.de 15.02.2016). die zugehörigen Texte, die sie selbst ver- Arbeitgeber in den USA bedrängen fasst haben. ihre Beschäftigten zunehmend, an fir- Die beiden Gründerinnen bezeichnen meninternen Vorsorgeuntersuchungen, USA ihre Software als „Positivity App“. Cor- biometrischen Tests oder Gesundheits- day meint, es gehe bei ihrer App doch kursen, etwa zur Diabetes-Bekämpfung, Menschenbewertungs- nur darum, öffentlich nett zueinander zur Blutdrucksenkung oder zum Ge- portal „Peeple“ zu sein: „Wir wollen beweisen, dass wichtsabbau teilzunehmen. Grund ist die Welt gut ist und voller Menschen, nicht eine gesteigerte Fürsorge, sondern In den USA ging die App „Peeple“ die dich lieben.“ Als die Macherinnen der Wunsch der Betriebe, die Prämien- am 07.03.2016 im Web an den Start, ihre App im November 2015 ankündig- zahlungen für ihre Beschäftigten bei mit der NutzerInnen andere Menschen ten, bildete sich umgehend eine Gruppe den privaten Krankenversicherungen bewerten können. Dafür müssen sie mit „People vs. Peeple“ (Menschen gegen zu drücken. Beschäftigte, die sich den einem Facebook-Account bei „Peeple“ Peeple), der sich bis zum Webstart schon Tests und Gesundheitsprogrammen ver- anmelden und können dann jede belie- mehr als 12.000 Personen bei Twitter weigern, erhalten oft höhere Prämien bige Person auf einer Skala von eins bis anschlossen. Hacker veröffentlichten al- auferlegt. Die Mehrkosten belaufen sich fünf bewerten. Dazu muss lediglich die les, vom Gewicht bei der Geburt bis zu pro Kopf und Jahr auf mehrere Hundert, Handynummer der zu bewertenden Per- den Adressen, über die beiden Gründe- gelegentlich sogar auf einige Tausend son bekannt sein. Eine Einwilligung war rinnen; es soll sogar Morddrohungen ge- Dollar. Nach Presseberichten haben re- zunächst nicht vorgesehen. Bewertete geben haben. Corday reagiert wie folgt: nitente Beschäftigte sogar in Einzelfäl- werden aber per SMS informiert, wenn „Ich habe keine Zeit für meine Kritiker.“ len ihren Versicherungsschutz verloren. ein Profil für sie eingerichtet wurde. Selbst Personen, die der Idee grundsätz- Die staatliche Antidiskriminierungs- Die beiden Kanadierinnen Julia Cor- lich aufgeschlossen gegenüber stehen, behörde EEOC sieht die Praxis, Be- day und Nicole McCullough laden dazu nahmen vom Start der App an Anstoß schäftigte mit finanziellen „Anreizen“ ein, KollegInnen, NachbarInnen, Mie- daran, dass zunächst keine Möglich- zur Teilnahme an Programmen zu ter, FreundInnen zu bewerten: „Wir wol- keit vorgesehen war, eine Bewertung drängen, kritisch. Sie befürchtet, dass len, dass der Charakter eine neue Art der zu untersagen. Statt von „Bewertungen“ die Unternehmen sensible Daten in die Währung wird.“ Sie wollten mit ihrer spricht Peeple jetzt von „Empfehlun- Hand bekommen, die Rückschlüsse auf App z. B. dabei helfen, gute Babysitte- gen“. Man müsse seinen Klarnamen an- potenziell teure Erkrankungen in der rInnen auszuwählen. Außerdem könnten geben. Peeple-Nutzende können selbst Zukunft erlauben. Diesen Beschäftigten Freunde der eigenen Kinder auf Peeple entscheiden, welche Kommentare über könnte dann unter einem Vorwand ge- online in Augenschein genommen wer- sie freigeschaltet werden. Alles Nega- kündigt werden, was in den USA leich- den. Positive Bewertungen gehen direkt tive lässt sich so verstecken. Die Grün- ter möglich ist als z. B. in Deutschland. online, negativen (zwei Sterne oder we- derInnen nennen dies „Reputationsma- Der Versuch der EEOC, die Verhängung niger) wird eine Wartezeit von 48 Stun- nagement“. Das Recht zum Verstecken zu hoher Strafzahlungen und die Spei- den auferlegt. Gleichzeitig wird die be- negativer Bewertungen soll es nur vorü- cherung sehr sensibler Daten gerichtlich wertete Person informiert, um evtl. Dif- bergehend geben. Das Start-up plant als zu unterbinden, ist immer wieder erfolg- ferenzen mit den Verantwortlichen für Nächstes eine Bezahl-Variante, genannt los. So wies jüngst eine Bezirksrichterin die Bewertung auszuräumen. Gelingt „Lizenz der Wahrheit““. Wer zahlt, be- in Wisconsin eine Klage gegen den Plas- dies nicht, wird die negative Bewertung kommt Zugang zu allen Bewertungen. tikproduktehersteller Flambeau mit der freigeschaltet. Negative Bewertungen Das Unternehmen hinter der App wurde Begründung zurück, den Teilnehmenden bleiben ein Jahr lang bestehen, bevor sie schon zum Start gemäß Presseberich- an den Vorsorgeuntersuchungen drohe

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 103 Nachrichten

kein Nachteil, weil ihr Arbeitgeber die allem durch Schlampigkeit wie verlore- Gründer des Studien-Sponsors ID Ex- Gesundheitsdaten der Beschäftigten nur ne Computer nach außen gedrungen. Im perts: „Medizinischer Identitätsdieb- anonymisiert speichere. Viele Betroffe- Jahr 2014 hatten 91% der befragten Or- stahl ist 100 Mal schlimmer als Finanz- ne sehen aber ihre Datenschutzrechte in ganisationen im US-Gesundheitsbereich Identitätsdiebstahl“. Wenn ein Betrüger Gefahr. Sie fürchten, dass die Betriebe zumindest ein Datenleck zu beklagen. die medizinische Identität eines Opfers sehr wohl auf individuelle Cholesterin-, Medizinische Daten sind nicht nur kri- für eine Operation nutzt, könne die Blutdruck- oder Zuckerwerte zurück- tisch, sondern für Cyberkriminelle auch Krankenakte danach dessen Blutgruppe greifen können, um unliebsame oder po- viel wert. Seit der großen Gesundheits- oder Medikamentenunverträglichkeiten tenziell teure Beschäftigte loszuwerden. reform von 2010 müssen in den USA die auflisten statt jene des Opfers. So wird von Unternehmen z. B. regist- Daten von Krankenversicherten elektro- Neun von zehn Organisationen hatten riert, wer raucht. nisch gespeichert werden. laut „Fifth Annual Benchmark Study on In Deutschland wäre ein solches Eine Krankenakte soll laut Experten Privacy & Security of Healthcare Data“ Verhalten nicht möglich, da nicht der 60 bis 70 Dollar wert sein. Eine US-Sozi- 2014 zumindest einen Vorfall, 40% so- Arbeitgeber Vertragspartner der Kran- alversicherungsnummer allein dagegen gar fünf oder mehr. Diese Datenlecks kenversicherung ist, sondern der Ar- bringt auf dem Schwarzmarkt allenfalls kosteten die Branche sechs Mrd. Dollar beitnehmer. Der Arbeitgeber hat i. d. R. einen Dollar. Unternehmen und Organi- pro Jahr. Dazu kommen noch die Risi- keinen Zugriff auf Gesundheitsdaten der sationen im Gesundheitsbereich waren ken für die Opfer, derer es laut der Stu- Beschäftigten. In den USA sind gut 80% bisher offenbar nicht gut auf Cyber-Be- die 2014 bereits 2,3 Mio. gab. Erfährt die der Beschäftigten sowie deren Familien drohungen vorbereitet. Larry Ponemon, betroffene Person von dem Diebstahl, über sog. Gruppenversicherungen ab- Gründer und CEO des Ponemon Institu- etwa bei der Quartalsmitteilung des Ver- gesichert. Die Kosten werden entweder tes meinte bei Vorstellung der Studie im sicherers, hat sie oft größte Mühe, die vom Unternehmen allein oder von bei- Mai 2015: „Es gibt einige Ausnahmen, korrekten und die fälschlich unter dem den Beteiligten gemeinsam getragen. aber im Allgemeinen fehlen Health- eigenen Namen abgerechneten Posten Nach Angaben des Amts für Arbeitssta- care-Anbietern entweder die Ressour- voneinander zu trennen. In 2/3 aller Fäl- tistik hatten bei der letzten Erhebung im cen, das Personal oder die technischen le bleibt sie auf einem Teil des Schadens Jahr 2014 ca. 69% der in der Privatwirt- Neuerungen, um der sich wandelnden sitzen, was laut Ponemon Institute im schaft Beschäftigten Anspruch auf einen Cyberbedrohungs-Landschaft zu begeg- Schnitt immerhin 13.500 Dollar waren Zuschuss zur Krankenversicherung. Im nen.“ Ann Patterson von der Verbrau- (Pichler, Patientendaten: Hacker-Klau Durchschnitt übernahm der Arbeitge- cherschutzorganisation Medical Identity toppt Schlampigkeit, www.pressetext. ber dabei 79% des Beitrags, so dass den Fraud Alliance begründete den Hype com 08.05.2015; Hulverschmidt, Plötz- Beschäftigten 21% blieben. Im öffentli- der Hacker: „Der Raub medizinischer lich drogensüchtig, SZ 25.02.2016, 1). chen Dienst ist die Zahl der Anspruchs- Identitäten bringt Kriminellen heute er- berechtigten höher. Die EEOC plant heblich mehr Geld ein als etwa der Klau Ägypten im Frühjahr 2016 neue Richtlinien um von Bankdaten.“ Während sich Scheck- sicherzustellen, dass Arbeitgeber Be- oder Kreditkarten bei einem Betrugs- Überwachungs-Soft- und schäftigte nicht zur Teilnahme an Vor- verdacht rasch sperren lassen, fällt der sorgeuntersuchungen zwingen und die Diebstahl einer medizinischen Identität -Hardware von Hacking Gesundheitsdaten der Mitarbeitenden oft monatelang nicht auf. In dieser Zeit Team und Nokia nicht zu deren Nachteil instrumentali- ordern die Diebe in großem Stil rezept- sieren können (Hulverschmidt, Sensible pflichtige Medikamente, die sie dann Die Menschenrechtsorganisation Pri- Daten für den Chef, SZ 02.02.2016, 22). weiterveräußern, etwa an Drogensüch- vacy International (PI) berichtet, dass tige. Oder sie verkaufen die Identitäten die italienische Firma Hacking Team an Kranke, die sich keine Versicherung im Jahre 2015 Überwachungssoftware USA leisten können. Wieder andere rechnen nach Ägypten geliefert hat. Nokia wird Leistungen ab, die niemand erhalten hat, in dem Bericht vorgeworfen, im Jahre Hacking auf Gesund- oder erschwindeln staatliche Zuschüs- 2011 ein Netzwerk für die Regierungs- heitsdaten steigt massiv se. Durch die Vermischung von echten kommunikation in Krisenzeiten gelie- und gefälschten Daten gelten Betroffe- fert zu haben (vgl. DANA 4/2015, 182 Gemäß einer Studie des Ponemon ne plötzlich als Drogenabhängige oder ff.). Während Nokia die Darstellung be- Institutes waren 2014 Hacker-Attacken Raucher. Es kann zu Fehldiagnosen, Be- streitet, rechtfertigte bei Hacking Team erstmals mit 45% der wichtigste Grund handlungsfehlern oder anderen gravie- der Pressesprecher Eric Rabe den Deal: für Datenlecks im Gesundheitsbereich. renden Gesundheitsrisiken kommen, so Ägypten sei ein Land, dem Europa auch Derartige Angriffe haben demnach seit Steve Weisgerber, Jura-Professor an der Kampfflugzeuge verkaufe. 2010 um 125% zugenommen und somit Bentley-University in Massachussetts: Laut dem 20-seitigen Bericht von PI andere Gründe für Datenverluste wie die „Im schlimmsten Fall erhält jemand bei gibt es in Ägypten ein Technical Re- Schlampigkeit von Mitarbeitern oder einem Unfall eine Bluttransfusion der search Department (TRD), das von ei- Diebstahl von Computern überflügelt. falschen Blutgruppe, weil seine Daten ner Frau mit dem Decknamen „Layla“ Bislang waren medizinische Daten vor geändert wurden.“ Ähnlich Rick Kam, geleitet wird und dem Inlands-Geheim-

DANA • Datenschutz Nachrichten 2/2016 104 Nachrichten

dienst Al-Mukhabarat Al-Amm zuarbei- fast 30.000 Euro. Gibt jemand eine fal- sei, wurde in dem Gesetz geregelt, dass tet. Das TRD soll demnach eng mit zwei sche Probe ab, drohen sieben Jahre Haft. die Herausgabe von Informationen aus deutsch-ägyptischen Firmen namens Das Gesetz war nach einem Anschlag der DNA-Datenbank mit bis zu drei Egyptian German Telecommunications auf eine schiitische Moschee verab- Jahren Haft geahndet werden soll, die Industries (EGTI) und Advanced Ger- schiedet worden, bei dem 26 Menschen Beschädigung der Datenbank mit min- man Technology (AGT) zusammenge- getötet und 227 weitere verletzt wurden. destens drei, maximal zehn Jahren Haft. arbeitet haben, die bis ins Jahr 2015 hin- Ein Parlamentsabgeordneter erläuterte, Es gebe strenge Auflagen für die Beam- ein Software und Hardware zur Überwa- man sei „zu fast allem bereit, was die tInnen, die mit den Proben hantieren, chung der Opposition importiert haben Sicherheit in diesem Land verbessert“. sowie einen speziellen Mechanismus sollen. Außerdem hätte das TRD im Jah- Beamte des Innenministeriums erklär- zur Erschwerung der Zuordnung von re 2011 über EGTI, einem Joint Venture ten, wieso die Datenbank keinen Angriff Proben zu ihren Quellen. Zudem gehe es zwischen der damaligen Nokia Siemens auf die Freiheit und Privatsphäre der nur um die nicht-codierenden Bereiche Network und einer ägyptischen Staats- Person darstelle. Kuwait ziehe lediglich der DNA, die keine Rückschlüsse etwa holding, Netzwerktechnik eingekauft, gleich mit Staaten wie Großbritannien auf eventuelle Krankheiten zulassen, um die Regierungskommunikation un- und den USA, die seit den 90er Jahren und auch für Fragen der Abstammung abhängig vom öffentlichen Telefonnetz DNA-Proben für strafrechtliche Ermitt- soll die Datenbank nicht genutzt werden sicherzustellen, heißt es in dem Bericht. lungen nutzen. Die Proben sollen durch – dies „sichere das Gesetz“. In einem Brief an Privacy Internatio- mobile und stationäre Center gesammelt Sarah Leah Whitson von Human nal bestätigt Nokia zwar die Lieferung werden, die sich an staatlichen Einrich- Rights Watch reagierte mit dem Hin- von Komponenten, beruft sich aber auf tungen und Büros befinden sollen. Dies weis, viele Maßnahmen könnten poten- einen „geerbten“ Ausrüstungsvertrag, ermögliche, „während diverser Erledi- ziell nützlich gegen Terrorangriffe sein, den Siemens im Jahre 2007 mit der gungen Proben abzugeben“. Bei Ein- aber ein potenzieller Nutzen sei keine damaligen Regierung Mubarak abge- wohnerInnen, die keine Staatsbürger- ausreichende Rechtfertigung für mas- schlossen habe. Nach der Erfüllung die- schaft besitzen, sollen die DNA-Proben sive Menschenrechtsverletzungen. Der ses Vertrages habe man keine weiteren bei der Ausgabe oder Erneuerung ihres Europäische Gerichtshof für Menschen- Geschäftsbeziehungen nach Ägypten Visums gesammelt werden. Für Besu- rechte hatte 2008 entschieden, dass die mehr unterhalten. Bezüglich der Soft- cherInnen soll es im Flughafen Kuwait Speicherung von DNA-Proben von Ver- ware von Hacking Team verteidigte ein spezielles Center geben, in dem sie dächtigen, die nicht verurteilt wurden, Firmensprecher Eric Rabe den Verkauf „zu ihren Rechten und Pflichten bezüg- gegen Artikel 8 der Europäischen Men- im Werte von knapp einer Million Euro: lich des DNA-Gesetzes beraten wer- schenrechtskonvention verstößt (Jonjic, „Es ist vollkommen legal, Software nach den“. Dessen ungeachtet wird betont, Kuwait errichtet DNA-Datenbank aller Ägypten auszuführen. Ägypten ist ein dass für alle drei Gruppen die Abgabe Einwohner, in Kalifornien wird „gene- Alliierter der USA, von vielen europä- von DNA-Proben verpflichtend ist. tisch diskriminiert, www.netzpolitik.org ischen Ländern und sogar von Israel. ... Da Datenschutz „zweifellos das 05.02.2016; Kuweit verlangt DNA-Test, Der Einsatz von Überwachungssoftware Hauptanliegen“ des Innenministeriums SZ 28.04.2016, 42). ist für uns alle im Kampf gegen den Ter- ror wichtig“ (Borchert, Überwachungs- Software für Ägypten, www.heise.de 27.02.2016).

Kuweit Technik-Nachrichten DNA-Identifikation zur „Terrorbekämpfung“ für alle Smartphone-Sensorik logical Laboratory die App „MyShake“ Im Rahmen eines neuen Anti-Terror- auf den Markt, die auf den Beschleuni- Gesetzes verabschiedete das kuwaitische dient der Forschung , z. B. gungssensor von Smartphones zugreift. Parlament im Juli 2015 ein weltweit ein- zur Erdbebendetektion Sobald der eine Erschütterung feststellt, maliges Gesetz mit der Nr. 78/2015, das die für Erdbeben typisch ist, schickt das alle 1,3 Mio. BürgerInnen und 2,9 Mio. Forschende der University of Cali- Gerät die Daten an einen Server in Ka- BewohnerInnen verpflichtet, ihre DNA fornia in Berkeley/USA planen, Mo- lifornien. Wenn 60% der mit MyShake in eine nationale Datenbank eintragen biltelefone zu einem Netzwerk zu ver- ausgestatteten Smartphones im Umkreis zu lassen. Die Datenbank soll noch im knüpfen, um Erdbeben zu erkennen und von 10 km ebenfalls Alarm schlagen, Jahr 2016 realisiert werden und auch die betroffenen Menschen frühzeitig zu vermutet das System ein Erdbeben und BesucherInnen erfassen. Bei Weigerung warnen. Zusammen mit der Deutschen errechnet die Stärke. Wenn die laufenden drohen ein Jahr Haft und eine Strafe von Telekom brachte das Berkeley Seismo- Tests erfolgreich sind, soll tatsächlich

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 105 Nachrichten

ein Alarm ausgelöst und an alle Telefone Beschleunigung des Geräts berechnen. schadstoffe messen. Sommer 2016 soll geschickt werden. Die App macht sich Dieses Beschleunigungsmessen lässt ein Prototyp fertiggestellt sein (Endt, Das zunutze, das Smartphones Erdbeben ab sich auch für andere Forschungsfelder Labor im Handy, SZ 24.02.2016, 12). einer Magnitude von 5 im Umkreis von nutzen. So berechnet die App „Street 10 km registrieren. Neuere Modelle sind Bump“ der Stadt Boston/USA wäh- noch genauer. Die App ist in der Lage, rend Autofahrten Erschütterungen, um Hackerangriff auf Nissan Erdbeben von anderen Erschütterungen Schlaglöcher zu lokalisieren. Je nach Leaf erfolgreich zu unterscheiden. Bei den Labortests mit Fabrikat enthalten Smartphones auch Beispielsdaten erkannten die Geräte 2% ein Thermometer, ein Barometer, ein Auf der Mobile World Congress in der Erdbeben fälschlicherweise nicht. Hygrometer zur Bestimmung der Luft- Barcelona Ende Februar 2016 präsen- Umgekehrt waren 7% der Meldungen feuchtigkeit sowie ein Magnetometer zur tierte Nissan sein Elektroauto „Leaf“ als falscher Alarm. Je mehr Geräte in ei- Messung von Magnetfelderm. Mit der in das mobile Endgerät schlechthin – eine nem Gebiet mit der App arbeiten, umso den Geräten installierten Kamera lassen Art Smartphone mit Elektromotor, vier seltener werden jedoch Fehler und umso sich nicht nur Fotos schießen; Forschen- Rädern und einer intelligenten Schnitt- genauer können Stärke und Epizentrum de haben Verfahren entwickelt, mit denen stelle, die Mensch und Maschine etwas bestimmt werden. anhand der erfassten Handybilder der enger verbinden soll. Wenige Tage spä- Schon nach wenigen Tagen hatte My- Reifegrad einer Banane und der Chlorge- ter demonstrierte der Computerexperte shake Zehntausende Nutzende auf allen halt einer Wasserprobe bestimmt werden und Sicherheitsforscher Troy Hunt, dass Kontinenten. Der Geophysiker Joachim können. Ein Team der Nanyang Techno- das Auto ohne große Probleme gehackt Ritter vom Karlsruher Institut für Tech- logical University in Singapur entwickelt werden kann. Über die von ihm aufge- nologie meinte: „MyShake ist ein in- eine App, die aus Handyfotos ablesen deckte Sicherheitslücke konnte nicht nur teressanter und Erfolg versprechender soll, wieviel Smog in der Luft ist. die BesitzerIn eines Nissan Leaf auf die Ansatz“. Smartphones gebe es auch in Auch im medizinischen Bereich gibt IT des Autos zugreifen, sondern auch je- Ländern, in denen kaum Echtzeit-Seis- es Anwendungen. Apple präsentierte im deR andere global über das Internet. Ein mometer vorhanden sind, z. B. in Nepal, Jahr 2015 eine Schnittstelle namens „Re- Hacker musste lediglich die richtige In- das 2015 von einem Beben der Stärke searchKit“, mit der Forschende iPhone- ternetadresse und eine Fahrzeug-Identifi- 7,8 betroffen war, oder Haiti, wo im Jahr Apps für medizinische Studien entwi- zierungsnummer parat haben. Beides ist 2010 Zehntausende Menschen in einem ckeln können. Zu den ersten Projekten nicht geheim: Die nötigen Webadressen Beben der Stärke 7,0 ihr Leben verloren. gehörte „mPower“, das der Erforschung kursieren im Netz, zum Beispiel in Fo- Der Geophysiker Wolfgang Friedrich von Parkinson dienen soll. Diese App ren, in denen sich besorgte Nissan-Leaf- von der Ruhr-Uni Bochum kann sich der nicht-kommerziellen Organisation HalterInnen über die Sicherheitslücke vorstellen, mit den Handy-Daten „Shake Sage Bionetworks nutzt Touchscreen austauschen. Die Nummer ist links unten Maps“ zu erzeugen, die die räumliche und Mikrofon von iPhones, um zu mes- in der Windschutzscheibe für jeden sicht- Verteilung der Bodenbewegungen dar- sen, wie stark Hände und Stimme von bar. Eine weitere Authentifizierung oder stellen: „Solche Karten könnten helfen, Probanden zittern. Teilnehmende sol- ein PIN-Code wird von der Schnittstelle Rettungskräfte gezielt in die Gebiete len regelmäßig Übungen ausführen und Nissan-Connect-EV offensichtlich nicht größter Zerstörung zu leiten.“ dazu Fragen beantworten, etwa zu ihrer abgefragt. Der von MyShake genutzte Beschleu- Ernährung, ihrem Schlaf und ihren sport- Um zu demonstrieren, welche Mög- nigungssensor ist in den meisten Smart- lichen Aktivitäten. Aus der Kombination lichkeiten das eröffnet, stellte Hunt ein phones eingebaut. Damit erkennt das von Fragebogen- und Messdaten wollen Video ins Internet. Das zeigt ihn, nach Gerät, in welche Richtung es ausge- die Forschenden neue Erkenntnisse über eigener Aussage in Australien an seinem richtet ist. Dazu wird die Wirkung der die Parkinson-Erkrankung gewinnen. Computer sitzend, und seinen Partner, Schwerkraft in ein elektrisches Signal Andere Apps auf der Grundlage von Re- der in Nordengland in einem Nissan Leaf umgewandelt. Es gibt verschiedene Ty- searcheKit sammeln Bewegungsdaten sitzt. Hunt kopiert sich eine URL in die pen. Ein häufig verwendeter errechnet mithilfe des Beschleunigungssensors, um Browserzeile – und ein paar Sekunden die Beschleunigung aus einer Änderung z. B. Diabetes, Herz- oder Atemwegser- später springen die Sitzheizung und die der elektrischen Kapazität. Für jede der krankungen zu erforschen. Klimaanlage an, ohne dass der Partner Raumrichtungen enthält er einen weni- Forschende überlegen, welche Mess- am anderen Ende der Welt irgendetwas ge Mikrometer breiten Siliziumstab, der geräte auf Handys noch gebraucht wer- gemacht hätte. Kurze Zeit später schaltet in die jeweilige Richtung frei beweglich den könnten. Ein Team vom Fraunhofer- Hunt die Systeme wieder aus und fragt ist. Wird das Gerät in eine Richtung be- Institut für Organische Elektronik, Elek- Fahrdaten der vergangenen Tage ab: Da- schleunigt, verändert sich aufgrund der tronenstrahl- und Plasmatechnik und die tum und Uhrzeit, Strecke, verbrauchte Massenträgheit die Position des Stabs. TU Dresden entwickelt ein Spektrome- Energie. Offenbar ist dabei die Zündung Dieser bildet zusammen mit einer fest ter, das die chemische Zusammensetzung des Autos ausgeschaltet. montierten Platte einen Kondensator. von Stoffen bestimmen kann und in ein Es müsse angeblich nicht einmal eine Dessen Kapazität ändert sich mit dem Smartphone passt. Damit könnten Han- konkrete Identifizierungsnummer be- Abstand. Die elektrische Kapazität lässt dynutzende selbst Lebensmittel auf ihre kannt sein, um an die Fahrdaten eines sich leicht messen. Aus ihr lässt sich die Inhaltsstoffe durchleuchten oder Luft- Nissan Leaf zu gelangen oder dessen Kli-

DANA • Datenschutz Nachrichten 2/2016 106 Rechtsprechung

maanlage zu steuern, da sich die Num- mern aller Nissan Leafs nur in den letz- ten fünf, maximal sechs Ziffern vonein- Rechtsprechung ander unterscheiden. Theoretisch sei es möglich, mithilfe von Programmen alle Ziffern durchzuprobieren, bis schließlich ein Treffer gelingt und ein Auto die ge- BVerwG eine Verantwortlichkeit bei mehrstufigen wünschten Daten sendet. Nissan bestätig- Informationsanbieterverhältnissen Raum te das Problem und teilte mit: „Connect Facebook-Fanpage-Ver­ lassen. Speziell geht es hier um den EV steht unseren Kunden derzeit nicht ant­wortlichkeit beim EuGH Punkt, inwieweit es neben der Auftrags- zur Verfügung“. Es seien aber weder si- datenverarbeitung eine Sorgfaltspflicht cherheits- noch fahrrelevante Funktionen Am 25.02.2016 beschloss das Bun- für die Auswahl von Dienstleistern im betroffen (Harloff, Hacker drin, Klima desverwaltungsgericht (BVerwG) im Internet gibt. Schließlich soll der EuGH läuft, SZ 26.02.2016, 21). Verwaltungsrechtsstreit zwischen der klären, ob das Tätigwerden einer Daten- Wirtschaftsakademie Schleswig-Hol- schutzaufsichtsbehörde davon abhängig stein GmbH (WAK) und dem Unabhän- ist, dass vorher die für den Diensteanbie- CDT warnt vor Profilbil- gigen Landeszentrum für Datenschutz ter zuständige Aufsichtsbehörde in einem dung mit Sound Beacons Schleswig-Holstein (ULD), die Frage der europäischen Mitgliedstaat um eigen- Verantwortlichkeit von Betreibern von ständiges Tätigwerden ersucht wird. Die US-amerikanische Datenschutz- Facebook-Fanpages für die Verarbeitung Bis zur Beantwortung der Fragen wird organisation Center for Democracy and von Nutzungsdaten dem Europäischen das Revisionsverfahren ausgesetzt. Ma- Technology (CDT) warnt vor den Fol- Gerichtshof (EuGH) zur Beantwortung rit Hansen, die Leiterin des ULD, hätte gen von geräteübergreifendem Nutzer- vorzulegen (1 C 28.14). Anlass war eine sich nach mehr als fünf Jahren und drei Tracking mit Hilfe von der Werbung im Anordnung des ULD gegenüber der Gerichtsinstanzen klare Aussagen und Fernsehen oder im Internet unterlegten WAK, einer Bildungseinrichtung der In- einen Abschluss des Rechtsstreits ge- hochfrequenten Tönen, die Menschen dustrie- und Handelskammer Schleswig- wünscht: „Vor dem Hintergrund, dass nicht wahrnehmen. Tablets, Smartpho- Holstein (IHK), vom 03.11.2011, eine wir in zwei Jahren mit der Europäischen nes und Geräte in der Nähe können diese von dieser betriebene Facebook-Fanpage Datenschutz-Grundverordnung arbeiten sogenannten Sound-Beacons registrie- zu deaktivieren. Nach Auffassung des werden, steht zu befürchten, dass der ren und einem Benutzerprofil zuordnen. ULD verletzt der Betrieb der Facebook- ursprüngliche Sachverhalt in der rechtli- Damit könnten Werbenetzwerke auf Fanpage europäisches und nationales chen und technischen Umsetzung über- breiter Front die Interessen des Nutzers Datenschutzrecht. Nachdem die WAK holt sein wird.“ Mit der EuGH-Vorlage auskundschaften und ihn geräteüber- gegen die Anordnung Klage eingereicht könnten sich aber evtl. neue deutlichen greifend mit zielgerichteter Werbung hatte, beschäftigte der folgende Rechts- Impulse für den Schutz der Betroffenen- berieseln. streit bereits das Schleswig-Holsteini- rechte ergeben. Ähnlich Marcus Schween Die US-Aufsichtsbehörde Federal sche Verwaltungsgericht (09.10.2013, von der IHK: „Der Beschluss bringt Trade Commission (FTC) hat sich am DANA 4/2013, 169) und das Schleswig- leider noch nicht die erhoffte Rechtssi- 16.11.2015 in einem Workshop mit Holsteinische Oberverwaltungsgericht cherheit für Unternehmen, die moderne dem Thema beschäftigt, wozu das CDT (04.09.2014, DANA 4/2014, 184 f.). Internetinfrastrukturen für geschäftli- einen Bericht beisteuerte. Demgemäß Das Bundesverwaltungsgericht hat in che Zwecke nutzen möchten“ (ULD, entwickeln die Firmen Adobe, Silver- seinem Beschluss keine Entscheidung PE 25.02.2016, Verantwortlichkeit von Push, Drawbridge und Flurry an gerä- über die maßgeblichen Rechtsfragen Fanpage-Betreibern vom Bundesver- teübergreifenden Nutzerprofilen. Die getroffen. Insbesondere die Verantwort- waltungsgericht noch nicht entschieden US-Datenschützer warnen dabei be- lichkeit von Unternehmen für die Daten- - der EuGH soll‘s richten, https://www. sonders vor SilverPush. Im April 2015 verarbeitung auf von ihnen betriebenen datenschutzzentrum.de/artikel/1013-. habe man deren Software bereits in 6 Facebook-Fanpages blieb ungeklärt. In html; IHK Schleswig-Holstein, PE bis 7 Apps gefunden. Ist eine solche der Verhandlung verwies der vorsitzen- 25.02.2016, EuGH hat das letzte Wort, App aktiv, kann sie das Sound-Beacon de Richter Uwe Berlit auf einen Aufsatz www.ihk-schleswig-holstein.de). von Werbung identifizieren, die ein an- von Martini/Fritzsche in NVwZ Extra deres Gerät abspielt. Laut SilverPush 21/2015, 1 ff., dem sich der Senat inhalt- BGH werde dabei nur auf die Beacons und lich weitgehend anschließen wolle. Das nicht auf andere Geräusche oder gar BVerwG legte insgesamt sechs Rechts- Bewertungsportale unter- auf Sprache gelauscht. Nach Angaben fragen zu Kernpunkten des zu entschei- von CDT überwacht SilverPush so be- denden Sachverhalts dem EuGH zur liegen Prüf- und Begrün- reits 18 Millionen Smartphones (Kos- Beantwortung vor. Unter anderem will dungspflichten sel, Datenschutz: Werbe-Tracker über- das BVerwG wissen, ob es neben den winden Gerätegrenzen, www.heise.de deutschen Regelungen zur Verantwort- Der Bundesgerichtshof (BGH) hat mit 15.11.2015). lichkeit weitere Umstände gibt, die für Urteil vom 01.03.2016 die Vorausset-

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 107 Rechtsprechung

zungen für die Bewertung von Ärzten zu. Hierbei dürfe einem Diensteanbieter auf den Bewerter habe man aber die im Internet präzisiert (VI ZR 34/15). keine Prüfungspflicht auferlegt werden, Unterlagen nicht herausgegeben: „Jetzt Ein Zahnarzt hatte gegen die Betreibe- die sein Geschäftsmodell wirtschaftlich wissen wir, dass wir in einem solchen rin von www.jameda.de, ein Portal zur gefährdet oder seine Tätigkeit unver- Fall Unterlagen erfragen und sie ge- Arztsuche und -bewertung, geklagt, weil hältnismäßig erschwert. schwärzt weitergeben sollen“. Reagiert er sich von einer ihm anoym bleiben- Jameda habe diese ihr obliegenden ein Bewerter nicht auf eine Rückfrage, den Person ungerecht negativ bewertet Prüfpflichten verletzt. Bewertungspor- werde der Kommentar gelöscht. Jameda fühlte. Die Bewertung, die die Nutzen- tale trügen ein gesteigertes Risiko von wolle nicht Hetze und Verleumdung Vor- den ohne Angabe seines Klarnamens Persönlichkeitsrechtsverletzungen in schub leisten. „Aber wir glauben, dass abgeben können, erfolgt dabei anhand sich, was sich durch die Möglichkeit, Ärztebewertungen nur anonym zustan- einer sich an Schulnoten orientierenden Bewertungen anonym oder pseudonym de kommen.“ Jameda hat im Jahr 2015 Skala für insgesamt fünf vorformulierte abzugeben, verstärke. Dem betroffenen 6 Mio. Euro umgesetzt und 2 Mio. Euro Kategorien, namentlich „Behandlung“, Arzt sei es bei derart verdeckt abgege- Gewinn vor Steuern erwirtschaftet. Alle „Aufklärung“, „Vertrauensverhältnis“, benen Bewertungen schwer, gegen den ca. 280.000 niedergelassenen ÄrztInnen „genommene Zeit“ und „Freundlich- Bewertenden direkt vorzugehen. Vor sind hier zu finden, ebenso Heilpraktike- keit“. Ferner besteht die Möglichkeit zu diesem Hintergrund hätte die beklagte rInnen und PhysiotherpeutInnen. Nach Kommentaren in einem Freitextfeld. Portalbetreiberin die Beanstandung des Angaben von Jameda besuchen jeden Der Kläger war mit der Gesamtnote betroffenen Arztes dem Bewertenden Monat 5,5 Mio. Menschen das Portal. 4,8 bewertet worden mit dem Zusatz übersenden und ihn dazu anhalten müs- Jeden Tag kommen 1.500 Posts zu den „Ich kann Dr. I. nicht empfehlen“. Die sen, ihr den angeblichen Behandlungs- mehr als 1 Mio Bewertungen hinzu. 4,8 war aggregiert worden u. a. aus den kontakt möglichst genau zu beschreiben. Eine Software soll hämische Auswüch- Noten „6“ für „Behandlung“, „Aufklä- Darüber hinaus hätte sie den Bewerten- se aussortieren. Der Rest geht direkt on- rung“ und „Vertrauensverhältnis“. Der den auffordern müssen, ihr den Behand- line. D. h. die Betroffenen müssen sich Kläger bestreitet, dass er den Bewer- lungskontakt belegende Unterlagen, wie selbst zur Wehr setzen (BGH, PE Nr. tenden behandelt hat und hatte Jameda etwa Bonushefte, Rezepte oder sonstige 49/16 v. 01.03.2016, Bundesgerichtshof vorprozessual zur Entfernung der Be- Indizien, möglichst umfassend vorzu- konkretisiert Pflichten des Betreibers wertung aufgefordert. Diese sandte die legen. Diejenigen Informationen und eines Ärztebewertungsportals; Berndt, Beanstandung dem ihm bekannten Nut- Unterlagen, zu deren Weiterleitung sie Krank geschrieben, SZ 02.03.2016, 10). zenden; dessen Antwort leitete Jameda ohne Verstoß gegen § 12 Abs. 1 TMG in dem Kläger unter Hinweis auf daten- der Lage gewesen wäre, hätte sie an den schutzrechtliche Bedenken nicht weiter. Kläger weiterleiten müssen. Im weiteren VG Hannover Die Bewertung blieb online. Verfahren werden die Parteien Gelegen- Der Zahnarzt forderte mit seiner Kla- heit haben, zu von der Beklagten ggf. er- Keine datenschutzrechtli- ge die Unterlassung der Verbreitung griffenen weiteren Prüfungsmaßnahmen che Anordnungsbefugnis der Bewertung. Das Landgericht Köln ergänzend vorzutragen. hatte zuvor mit Urteil vom 09.07.2014 Der BGH schützt also die Anonymität bei öffentlichen Unter- der Klage stattgeben (28 O 516/13); das der Bewertenden, gibt aber den Bewer- nehmen Oberlandesgericht (OLG) Köln hatte sie teten bessere Möglichkeiten, sich zur auf die Berufung der Beklagten hin am Wehr zu setzen. Im Juli 2014 hatte der Das Verwaltungsgericht (VG) Hanno- 16.12.2014 abgewiesen (15 U 141/14). BGH gegen einen Arzt entschieden, der ver hat mit Urteil vom 10.02.2016 auf die Der für das allgemeine Persönlichkeits- im Portal Sanego negativ bewertet wur- Klage der üstra Hannoversche Verkehrs- recht zuständige 6. Zivilsenat des BGH de, weil er angeblich im Wartezimmer betriebe AG eine datenschutzrechtliche hob diese Entscheidung auf und verwies lange warten ließ und ein falsches Me- Verfügung der Landesbeauftragten für den Rechtsstreit an das Berufungsgericht dikament verschrieben habe. Der BGH den Datenschutz Niedersachsen (LfD zurück. Die beanstandete Bewertung sei signalisierte, dass die freie Meinungs- Nds.) aufgehoben (Az. 10 A 4379/15). keine eigene „Behauptung“ von Jame- äußerung Bewertungen zulasse, die ein Mit dieser Verfügung hatte die LfD Nds. da, weil sie diese sich nicht inhaltlich zu Arzt ertragen müsse. Jetzt klärte der die Einstellung der Videoüberwachung eigen gemacht hat. Die Beklagte hafte BGH, dass der betroffene Arzt das Recht in Bussen und Bahnen angeordnet, so- für den von Nutzenden ihres Portals ab- hat, mehr über denjenigen zu erfahren, lange die üstra AG kein datenschutzkon- gegebene Bewertung deshalb nur dann, der die Bewertung abgegeben hat, Und form abgestuftes Überwachungskonzept wenn sie zumutbare Prüfungspflichten die Tatsacheninstanz des OLG muss vorlege oder anhand einer konkreten verletzt habe. Deren Umfang richtet sich prüfen, ob Jameda abgeklärt hat, dass Gefahrenprognose nachweise, dass die nach den Umständen des Einzelfalles. der Bewerter wirklich in Behandlung bisher praktizierte flächendeckende Vi- Maßgebliche Bedeutung komme dabei war. Umgekehrt hat der Arzt ein berech- deobeobachtung erforderlich sei. dem Gewicht der beanstandeten Rechts- tigtes Interesse, der Sache nachzugehen. Das VG gab der Klage statt, ohne die verletzung, den Erkenntnismöglichkei- Jameda-Geschäftsführer Florian Weiß zwischen den Beteiligten streitige daten- ten des Providers sowie der Funktion zeigte sich zufrieden. Den konkreten schutzrechtliche Rechtmäßigkeit der Vi- des vom Provider betriebenen Dienstes Fall habe man geprüft. Aus Rücksicht deoüberwachung als solche zu beurtei-

DANA • Datenschutz Nachrichten 2/2016 108 Rechtsprechung

len. Die Verfügung erweise sich schon und so jährlich Schäden im „mittleren geln unterbinden lassen, die die Umge- mangels ausreichender Rechtsgrundlage sechsstelligen Euro-Bereich“ zu verur- hung der auf bild.de eingesetzten Adblo- als rechtswidrig. Die LfD Nds. könne sachen. Eyeo greife in den impliziten cker-Sperre ermöglichen. sich dafür nicht auf das Bundesdaten- Vertrag zwischen Verlag und LeserInnen Immer mehr Webseiten greifen wegen schutzgesetz (BDSG) stützen. Die üstra ein, der die Anzeige kostenlos abrufba- der zunehmenden Verbreitung von Ad- AG nehme mit dem Betrieb des öffent- rer Artikel vorsehe. blockern und Anti-Tracking-Techniken lichen Personennahverkehrs hoheitliche Eyeo hingegen meinte, seine Software mittlerweile zu technischen Gegenmaß- Aufgaben der öffentlichen Daseins- diene dazu, dass die Nutzenden ihre in- nahmen: Sie sperren die NutzerInnen vorsorge wahr und sei insofern öffent- formationelle Selbstbestimmung durch- solcher Programme von ihren kosten- liche Stelle im Sinne des BDSG. Auf setzen könnten. Nur wenn sie Adblocker losen Angeboten aus oder fordern sie öffentliche Stellen in den Ländern sei und ähnliche Programme verwenden, zumindest auf, bestimmte Websites frei- das BDSG aber nur unter weiteren, hier könnten sie verhindern, dass die Wer- zuschalten. Französische Verleger haben nicht gegebenen Voraussetzungen an- beindustrie sie trackt oder Webserver eine gemeinsame Aktion zur Blockade wendbar. Eine Rückverweisung aus dem schädliche Programme aufspielten. Zu- von Adblockern gestartet; in Schweden Niedersächsischen Landesdatenschutz- dem stehe es dem Verlag frei, seine In- ist Ähnliches in Vorbereitung. Paywalls gesetz (LDSG) in das BDSG gebe es halte anders zu monetarisieren. Eyeo sei werden immer verbreiteter. So sind seit nicht. Nach dem insofern im Rechtsver- auch nicht daran interessiert, die Werbe- 2015 auch viele Inhalte auf süddeutsche. hältnis der Beteiligten zueinander allein finanzierung komplett zu unterbinden, de zahlenden KundInnen vorbehalten einschlägigen LDSG habe die LfD Nds. da das Unternehmen in seinem Accep- (Kleinz, Werbeblocker: Eyeo gewinnt nicht dieselben Eingriffsbefugnisse wie table-Ads-Programms an den Werbeum- vor Gericht gegen „Süddeutsche Zei- nach dem BDSG; insbesondere könne sätzen der Vertragspartner beteiligt sei. tung“, www.heise.de 30.03.2016). sie eine für datenschutzwidrig gehaltene Die Richter stellten gemäß der Ver- Praxis nicht untersagen, sondern ledig- lagsargumentation fest, dass Eyeo und LG Berlin lich beanstanden. Die ausdrücklich auf der Süddeutsche Verlag tatsächlich kon- die Einstellung der derzeitigen Praxis kurrierten, wodurch nach dem Wettbe- Ordnungsgeld gegen gerichtete Verfügung sei schon deshalb werbsrecht geklagt werden könne. Die- aufzuheben. Die zwischen den Beteilig- ser Punkt war bei vorangegangenen Kla- Facebook wegen unge- ten streitige Frage, wie die Videoüber- gen anderer Medienhäuser strittig. Doch nügender AGB-Änderung wachung nach dem BDSG zu beurteilen sah das LG keine gezielte Behinderung wäre, stelle sich nach alledem in diesem des Süddeutschen Verlags. Es gebe auch Gemäß einem Beschluss des Land- Gerichtsverfahren nicht. Die Kammer kein faktisches Vertragsverhältnis, das gerichts (LG) Berlin vom 11.02.2016 hat gegen das Urteil wegen grundsätz- die LeserInnen verpflichte, Werbung an- muss Facebook 100.000 Euro Ord- licher Bedeutung die Berufung zum zuschauen. nungsgeld in die Staatskasse über- Nds. Oberverwaltungsgericht zugelas- Der Werbeblocker stelle keinen tiefen weisen, weil das Unternehmen gegen sen (VG Hannover: Keine Befugnis der Eingriff in die Kommunikation zwi- eine Unterlassungsverpflichtung des Landesdatenschutzbeauftragten zur Un- schen Verlag und LeserInnen dar. Der höherinstanzlichen Kammergerichts tersagung der Videoüberwachung in den Verlag hatte argumentiert, dass der Wer- Berlin (KG) verstoßen hat (16 O Fahrzeugen der üstra, www.heymanns- beblocker nicht nur Werbung, sondern 551/10). Facebook habe anders als download.de 11.02.2016, VG Hannover, auch Copyright-Hinweise und Links auf vom KG gefordert eine Passage in den PM 10.02.2016). das Impressum entfernt habe. Dies er- Vertragsklauseln zwischen dem sozi- klärte Eyeo damit, dass die betroffenen alen Netzwerk und seinen deutschen LG München Bereiche vom Verlag technisch als Wer- NutzerInnen nicht ausreichend abge- bung gekennzeichnet gewesen seien; die ändert. Keine Werbevertrag bei Filter seien korrigiert worden. Ursprung dieses Verfahrens ist eine Die Entscheidung kommt nicht über- Klage der Verbraucherzentrale Bun- kostenloser Online-Zei- raschend. Zuvor hatten bereits Landge- desverband (vzbv) gegen Facebook tung richte in Hamburg, Köln und München aus dem Jahr 2010. Die Verbrau- für Eyeo entschieden. Mehrere Medien- cherschützer hatten moniert, dass die Die Zivilkammer des Landgerichts häuser haben bereits angekündigt, den sogenannte „IP-Lizenz-Klausel“ in (LG) München hat mit Urteil vom Streit durch den Instanzenweg zu füh- Facebooks Nutzungsbedingungen zu 22.03.2016 eine Klage des Süddeut- ren. Sie erhoffen vom Bundesgerichts- unbestimmt formuliert sei und sich schen Verlags gegen die Kölner Firma hof eine Korrektur der Entscheidung in damit nachteilig auf die deutschen Eyeo abgewiesen, mit dem dieser den Sachen „Fernsehfee“, durch die Wer- NutzerInnen auswirke. Mit dieser Vertrieb des Werbeblockers Adblock beblocker prinzipiell für legal erklärt „IP-Lizenz“ räumt sich Facebook Plus unterbinden wollte (Az. 33 O wurden. Medienhäuser gehen auch auf nichtexklusive, weltweite Rechte zur 5017/15). Der Verlag wirft Eyeo vor, anderer Ebene gegen Adblocker vor. So Verwendung aller Inhalte ein, die Mit- den Vertrieb von Werbung auf der Web- hatte der Verlagskonzern Axel Springer glieder des Netzwerks dort posten (IP site süddeutsche.de gezielt zu behindern zumindest die Verbreitung von Filterre- steht in diesem Fall für „Intellectual

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 109 Rechtsprechung

Property“). Der vzbv hatte in dem LG Düsseldorf AG Potsdam Verfahren in erster und zweiter Ins- tanz Recht bekommen. Das KG warf „Like“-Button ohne Keine Kameradrohnen Facebook vor, mit der Klausel gegen das Transparenzgebot zu verstoßen Info und Einwilligung über Nachbars Garten und untersagte deren Nutzung mit Be- unzulässig­ schluss vom 24.01.2014 (5 U 42/12). Gemäß einem Urteil des Amtsge- Nach der Zurückweisung einer Nicht- Das Landgericht (LG) Düsseldorf hat richts (AG) Potsdam vom 16.04.2015 zulassungsbeschwerde des Bundes- der Klage der Verbraucherzentrale Düssel- gewährt die allgemeine Handlungs- gerichtshofs (BGH) ist dieses Urteil dorf (VZ NRW) wegen des „Gefällt mir“- freiheit keinen Anspruch darauf, eine seit Oktober 2015 rechtskräftig. Im Buttons von Facebook mit Urteil vom Flugdrohne über das Grundstück des Dezember 2015 prüfte der vzbv, ob 09.03.2016 gegen den Bekleidungshänd- Nachbarn fliegen zu lassen (Az.: 37 C sich Facebook an die Unterlassungs- ler Peek & Cloppenburg weitgehend statt- 454/13). In dem Fall ging es um einen verpflichtung hält. Man fand eine ge- gegeben (Az. 12 O 151/15). Die VZ hatte Streit zwischen Nachbarn. Ein Mann änderte, aber nach Ansicht des vzbv kritisiert, dass durch das Plugin Daten, die hatte seine Drohne, die mit einer Ka- immer noch rechtswidrige Version der über das Surfverhalten des Kunden Aus- mera ausgestattet war, über das Haus Klausel vor und beantragte ein „in das kunft geben, schon beim einfachen Aufru- und das Grundstück seiner Nachbarin Ermessen des Gerichts gestelltes Ord- fen einer Seite an Facebook weitergeleitet fliegen lassen. Deren Grundstück ist nungsgeld bis zu 250.000 Euro“. werden. Das LG entschied, dass Unter- durch hohe Hecken vor neugierigen Das LG Berlin folgte der Argumen- nehmen die SeitenbesucherInnen über die Blicken geschützt. Als sie im Garten tation des vzbv. Die neue Klausel Weitergabe von Daten aufklären müssen. auf einer Sonnenliege las, startete der sei im Kern nicht konkreter, damit Die Integration des „Like“-Buttons verlet- Nachbar seine Drohne. Die Nachbarin verstoße Facebook gegen die Unter- ze Datenschutzvorschriften, weil dadurch fühlte sich dadurch gestört und ließ den lassungsverpflichtung. Zwar habe unter anderem die IP-Adresse des Nutzers Piloten durch ihren Anwalt abmahnen Facebook bereits angekündigt, die ohne ausdrückliche Zustimmung an Face- und forderte die Abgabe einer Unterlas- Klausel demnächst nochmals ändern book weitergeleitet werde. Dies passiert sungserklärung. Als dieser dies verwei- zu wollen, dies könne sich aber nicht unabhängig davon, ob die Seitenbesuche- gerte, zog sie vor Gericht. mehr auf den Verstoß auswirken: „Die rin Facebook-Mitglied ist oder nicht. Eine Das AG gab der Frau Recht: Grund- Beibehaltung einer Klausel mit dem Information wurde nicht gegeben noch sätzlich sei der Luftraum für die vom gerichtlich beanstandeten Inhalt lässt um eine Einwilligung gebeten. Beklagten benutzte Drohne frei. Auch erkennen, dass die Schuldnerin das Rechtsanwältin Sabine Petri von der schütze die allgemeine Handlungsfrei- gerichtliche Verbot nicht ausreichend Verbraucherzentrale zeigte sich mit dem heit die Pflege von eigenwilligen Hob- ernst genommen hat.“ Die vergleichs- Urteil zufrieden und kommentierte: „Kei- bys. Doch hier gehe das im Grundge- weise hohe Summe von 100.000 Euro ner weiß, was Facebook mit den Daten setz geschützte Persönlichkeitsrecht für ein erstes Ordnungsgeld erklärt macht“. Unternehmen könnten sich nicht vor. Zur Privatsphäre gehöre auch die das Gericht damit, dass die Sanktion einfach aus der Verantwortung ziehen, in- Integrität eines nicht einsehbaren Gar- „auch für die wirtschaftlich starke dem sie auf Facebook verweisen. tens, der typischerweise ein Rückzugs- Schuldnerin zumindest spürbar sein“ Bei Peek & Cloppenburg ging es um ort des Nutzenden ist. Beobachtungen müsse. die Website fashion.id. Mittlerweile muss anderer Personen seien als Ausspähung Klaus Müller, Vorstand des vzbv, die NutzerIn dort Social-Media-Dienste zu bewerten. Dies gelte umso mehr, zeigte sich mit dem noch nicht be- explizit aktivieren und stimmt damit zu, wenn wie im vorliegenden Fall – einem standskräftigen Beschluss zufrieden: „dass Daten an die Betreiber der sozialen offenkundig gestörten Nachbarschafts- „Facebook versucht sehr beharrlich, Netzwerke übertragen werden“. Insge- verhältnis – das Fliegen der Drohne Verbraucherrechte in Deutschland samt hatte die Verbraucherzentrale NRW über dem Nachbargrundstück nicht und Europa zu umgehen. Ein Ord- im Frühjahr 2015 sechs Unternehmen we- mehr als zufällig erscheint. Vielmehr nungsgeld von 100.000 Euro ist ein gen des „Like“-Buttons abgemahnt: HRS, habe dies „bereits Züge von Mobbing“. deutliches Signal. Unternehmen müs- Nivea (Beierdorf), Payback, Eventim, Fa- Der Hinweis des Beklagten, er habe sen gerichtliche Entscheidungen um- shion ID und KIK. Vier dieser Unterneh- keine Aufnahmen vom Grundstück der setzen und können sie nicht einfach men hatten eine Unterlassungserklärung Nachbarin gemacht und auch einen aussitzen. Eine AGB-Klausel werde abgegeben. Ebenso uneinsichtig zeigte Abstand von 50 Metern zu dem betref- nicht dadurch besser, dass Facebook sich Payback, gegen das die VZ NRW fenden Grundstück eingehalten, konnte ein paar Worte ändere. Ein Sprecher beim LG München Klage eingereicht hat die Richter nicht überzeugen. Für sein von Facebook erklärte dazu, dass das (Gericht gibt Verbraucherzentrale weitge- Hobby gebe es genug andere Flächen. Unternehmen die Zahlung des Ord- hend recht, www.faz.net 09.03.2016; Ver- Es gehe nicht um ein Flugverbot oder nungsgeldes akzeptiere (Bleich, LG braucherzentrale Nordrhein-Westfalen, um das „Untersagen einer kindlich-un- Berlin: Facebook muss 100.000 Euro PE: Facebook-Like-Button auf Firmen- schuldigen Freizeitbeschäftigung, wie Ordnungsgeld zahlen, www.heise.de Websites: Gericht rügt Datenschutzver- beispielsweise einen Drachen steigen 29.02.2016). stoß 09.03.2016). zu lassen oder ein Modellflugzeug zu

DANA • Datenschutz Nachrichten 2/2016 110 Rechtsprechung

steuern“, sondern um eine Persönlich- vom Betroffenen einholen könne. Der Prozess berufen. „Für die Versicherten keitsbeeinträchtigung. Anwalt der beklagten TK erklärte: „Wir bedeutet das Urteil womöglich, dass sie Bei privater Nutzung darf der Flug werden Ihr Foto umgehend löschen“. In in Zukunft auf ihrem Antrag noch ein nur innerhalb der Sichtweite der steu- der Regel löscht die TK die Daten ihrer Häkchen mehr machen müssen“, für die ernden Person erfolgen. Auf freier Flä- Versicherten erst, wenn der Vertrag endet. Einwilligung nämlich, dass die Kran- che entspricht dies einer maximalen Die eGK wurde in Deutschland seit 2011 kenkasse ihr Foto ohne zeitliche Ein- Entfernung von 200 bis 300 Metern. stufenweise eingeführt; alle 5 Jahre muss schränkung nutzen darf (Gesundheits- Für Freizeitnutzungen sind keine Ge- sie erneuert werden. karte: Krankenkasse muss Foto löschen, nehmigungen nötig, es sei denn, das Der Klägeranwalt kommentierte: www.haufe.de 02.12.2015; Hofer, Kran- Gerät wiegt mehr als 5 Kilogramm. „Das Gericht hat über einen Einzelfall kenkasse muss Foto für Gesundheitskar- Professionelle Fotografen, die aus entschieden“. Andere Betroffene könn- te löschen, CuA 2/2016, 19). kommerziellen Gründen Luftaufnah- ten sich in Zukunft nicht auf diesen men machen, bedürfen einer Behör- denerlaubnis. (Drohnen dürfen nicht über Nachbargrundstück fliegen, www. berlin.de 01.02.2016; Nasemann, Aus- gespäht, SZ 01.04.2016, 33). Buchbesprechungen SG Mainz TK muss Versicherten- passfoto löschen schutz oder der Datenschutz im nicht- öffentlichen Bereich des kommunalen Das Sozialgericht (SG) Mainz ent- Umfelds. Die bei dieser Themenfülle schied mit Urteil vom 01.12.2015, dass erforderliche Konzentration auf das eine gesetzliche Krankenkasse das Foto Landesrecht NRW und ein systemati- eines Versicherten nach der Erfassung sches Verständnis der Thematik kom- seiner Daten löschen muss (S 14 KR pensiert das Werk durch eine Fülle 477/15). Der Kläger hatte gegen die von hilfreichen Fußnotenverweisen dauerhafte Speicherung seines Bildes auf weiterführende Informationsquel- geklagt und sich auf den Datenschutz len. Gerade bei den technisch-orga- und die informationelle Selbstbestim- nisatorischen Fragen entpuppt sich mung berufen. Eine Vorratsspeicherung das scheinbar textlastige Werk als für die Dauer der Mitgliedschaft sah er kompakte Arbeitshilfe für den Prakti- nicht für erforderlich an. Die Techniker ker. Statt einer Fülle von Checklisten Krankenkasse (TK) hatte sich gewei- Datenschutz in der Kommunalverwal- werden die rechtlichen Anforderungen gert, das Bild aus ihrer Datenbank zu tung: Recht - Technik - Organisation mit praxisgerechten Beispielformulie- nehmen – für den Fall, dass die von ihr 4., völlig neu bearbeitete Auflage rungen begleitet. Der Autor vermeidet herausgegebene elektronische Gesund- Erich Schmidt Verlag dabei auch nicht die Darstellung wich- heitskarte (eGK) verloren ginge oder ISBN 978 3 503 15664 1 tiger Streitstände, was den Zilkens zu zerstört würde. Eine Neubeschaffung einem hilfreichen und kompakten Ein- des Fotos wäre mit einem unverhältnis- (kn) Der neue Zilkens ist da – zu steigerwerk für die komplexen The- mäßigen Aufwand verbunden. Recht hat sich das Werk aus dem Erich men des Datenschutzes auf Ebene der Der Vorsitzende Richter erklärte, er Schmidt Verlag als Standardlektüre für kommunalen Verwaltungen und für habe zwischen dem bürokratischen Auf- kommunale Datenschutzbeauftragte Praktiker aller Bundesländer empfeh- wand für die Krankenkasse und dem längst einen Namen gemacht. Auf 641 lenswert macht. Er sollte aber nicht nur Recht auf informationelle Selbstbestim- Seiten gelingt es hier dem langjährig im Regal jedes Datenschutzbeauftrag- mung des Klägers abwägen müssen. Die erfahrenen Datenschutzpraktiker, in ten zu finden sein, sondern vor allem erstmalige Speicherung des Bildes für die 15 Kapiteln nicht nur die datenschutz- den Fachvorgesetzen den Einstieg in eGK-Erstellung sei zulässig. Für die ge- rechtlichen Grundbegriffe, Prinzipien ihre Verantwortung erleichtern. Die- nerelle Aufbewahrung des Fotos fehle je- und Systematiken abzubilden, sondern ses Werk macht wie kaum ein anderes doch die Rechtsgrundlage. Bei der Abwä- sich detailliert mit den besonderen An- deutlich, dass der Datenschutz nicht als gung spielte auch die Frage, inwieweit die forderungen in der kommunalen Praxis „Beauftragtenposition“ einem Daten- Fotos vor unbefugtem Zugriff Dritter ge- auseinanderzusetzen. Ein Überblick schutzbeauftragten überlassen bleiben schützt sind, eine wichtige Rolle. Das SG über den bereichsspezifischen Daten- kann, sondern integraler Bestandteil kam zu dem Ergebnis, dass die Kranken- schutz fehlt dabei ebenso wenig, wie einer modernen und rechtstaatlichen kasse für eine neue Karte das Bild erneut der kommunale Beschäftigtendaten- Verwaltungsarbeit ist.

DANA • Datenschutz Nachrichten 2/2016 DANA • Datenschutz Nachrichten 2/2016 111 Cartoon

ICH HABE GEHÖRT, DASS JA, DIE VERTRETER DER EU DIE USA JETZT BEI TTIP, HABEN HART VERHANDELT TISA UND SAFE HARBOR UND EIN ERFOLG WAR NUR BEREIT SIND, ZUGESTÄND- DESHALB MÖGLICH, WEIL NISSE ZU MACHEN EUROPA SICH BEI DEN ROTEN LINIEN AUF ERHEB- LICHE KOMPROMISSE EINGE- LASSEN HAT...

© 2016 Frans Valenta