Tauziehen um die Safe Harbor und die Datenübermittlung in die USA, Streit um die datenschutzrechtliche Verantwortlichkeit von Facebook-Fanseiten, Europäische Datenschutzgrundverordnung, Datenschutz im Auto. Im Jahr 2014 hat sich in Sachen Datenschutz einiges getan. Wir wollen Ihnen in diesem Artikel einen umfangreichen Rückblick bieten, was für uns und den Datenschutz Bedeutung hatte.
Tauziehen um Safe Harbor
Am NSA-Skandal entzündete sich die Debatte um das datenschutzrechtliche Safe Harbor-Abkommen und die Rechtmäßigkeit von Datenübertragungen in die USA. Viele europäische Datenschützer zweifelten die Rechtsmäßigkeit solcher Datenübertragung auf Grundlage dieses Abkommens an, so auch in Deutschland.
Allerdings wurde den nationalen Aufsichtsbehörden zu Recht die Kompetenz zur Außer-Kraft-Setzung des Abkommens abgesprochen. Dieser Streit beschäftigt immer noch Datenschützer, Gerichte, Politiker und Gesellschaft. Ende des Jahres legte der irische High Court Safe Harbor dem Europäischen Gerichtshof zur Prüfung vor.
Datenübermittlung in die USA – ja oder nein?
Durch das Bekanntwerden einer massenhaften Ausspähung von Daten deutscher Bürger durch amerikanische Geheimdienste wurden hierzulande Stimmen laut, die ein Verbot der Datenübermittlungen auch in der Privatwirtschaft in die USA forderten. Ein solches Verbot hätte für deutsche Unternehmen viel Aufwand bedeutet. Ohne Safe Harbor müsste mit jedem US-amerikanischen Empfänger von exportierten, personenbezogenen Daten zuvor ein EU-Standard-Klausel-Vertrag abgeschlossen werden, der auch eine Prüfung der technischen Schutzmaßnahmen beinhaltet hätte.
Datenschutzbehörden wollten Übermittlung verhindern
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) griffen in diese Debatte mit der Ankündigung ein, keine Datenübermittlung mehr in die USA genehmigen zu wollen (Newsletter 12/2013). Die Datenschutzbehörden vertraten die Ansicht, dass die personenbezogenen Daten Betroffener in den USA nicht ausreichend geschützt seien. Der Grund sei der Zugriff auf diese Daten, u.a. durch die National Security Agency. So argumentierten auch Datenschutzgruppen, wie die Gruppe „Europe versus Facebook“.
Datenschutzbehörden vertraten strittige Ansicht
Die Argumentation der Datenschutzbehörden war und ist bei dieser Frage eine durchaus strittige. Konkret geht es um Art. 25 RL 95/46/EG (Datenschutzrichtlinie), der eine Datenübermittlung nur in sichere Drittstaaten erlaubt. Unternehmen, die dem Safe Harbor-Abkommen beigetreten sind, haben ein solch sicheres Datenschutzniveau per Definition, sodass eine Drittlands-Übermittlung („2. Prüfstufe“) rechtmäßig ist (Art. 25 Abs. 6 RL 95/46/EG). Nach Ansicht der Datenschutzbehörden sei Art. 25 Abs. 6 RL 95/46/EG eine widerlegbare Vermutung, die auch durch das Handeln der amerikanischen Geheimdienste widerlegt wurde. Nach anderer Ansicht wird diese Vermutung durch das Safe Harbor-Abkommen erbracht, zudem erlaube die Datenschutzrichtlinie Einschränkungen dieser Grundsätze, z.B. wenn die nationale Sicherheit oder das öffentliche Interesse es erfordern (Anhang 1 zu Art. 1 E 2000/520/EG).
Europäischer Gerichtshof soll Frage nach der Rechtmäßigkeit klären
Letztendlich haben die nationalen Datenschutzbehörden der EU nicht die Befugnis, Europarecht rechtsverbindlich zu interpretieren und somit eine Datenübermittlung in die USA zu untersagen. Allerdings könnten die Genehmigungen von sog. Binding Corporate Rules (BCR) über die Datenübermittlung mit US-amerikanischen Unternehmen von den Datenschutzbehörden erschwert werden.
Der Frage nach der Rechtmäßigkeit soll nun der Europäische Gerichthof nachgehen. Der irische High Court will mit seiner Vorlage zum EuGH wissen, ob das Safe Harbor-Abkommen überhaupt noch als Rechtsgrundlage angesehen werden kann. Die Vorlage stammt aus einem Verfahren gegen den Irischen Datenschutzbeauftragten. Zwar anerkannte der High Court, dass der Irische Datenschutzbeauftragte aufgrund von Safe Harbor an die Annahme der Sicherheit in den USA gebunden ist. Allerdings warf der High Court die Frage auf, ob das Safe Harbor-Abkommen nicht durch den sog. NSA-Skandal, die verbindlich gewordene Grundrechtecharta der EU und andere Faktoren überholt sein könnte.
Beschluss darf mit Spannung erwartet werden
Der Beschluss des EuGH in dieser Sache darf mit Spannung erwartet werden. Sollte das Safe Harbor-Abkommen seine Rechtmäßigkeit verlieren muss die gesamte Datenübermittlung in die USA auf eine neue Grundlage gestellt werden. Angesichts der heftigen Kritik am Safe Harbor-Abkommen dürfte dies ein langwieriger und scharf beobachteter Prozess werden. Selbst die Fraktion der konservativen Parteien (EVP) im EU-Parlament forderte in der Vergangenheit eine Aussetzung des Abkommens. Auch der seit November 2014 amtierende EU-Kommissar für den digitalen Binnenmarkt, Andrus Ansip, schloss eine Aussetzung nicht aus und betonte die Notwendigkeit einer Änderung. Vor ihm kündigte bereits die EU-Kommission eine Revision des Abkommens an.
Wie wird das Urteil des EuGH aussehen? – Unserer Einschätzung nach wird das Safe Harbor-Abkommen zur Legitimierung eines Datentransfers in die USA erhalten bleiben, ggf. unter bestimmten, strengeren Prüfauflagen seitens des Datenexporteurs. Wir informieren darüber sobald das Urteil vorliegt.
Die Datenschutzgrundverordnung
Im Jahr 2014 beschäftigte uns auch das Ringen um die europäische Datenschutzgrundverordnung (DS-GVO). Die DS-GVO soll das Datenschutzrecht innerhalb der EU vereinheitlichen und auf einem hohen Niveau sichern. Bei der Verabschiedung und Umsetzung der Grundverordnung gab es im vergangenen Jahr Fortschritte und Rückschläge.
Startschwierigkeiten bei der Umsetzung
Bereits Ende des Jahres 2013 verabschiedete der zuständige Ausschuss des EU-Parlaments, der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), einen Entwurf für die DS-GVO. Ab da hätte theoretisch mit dem Trilog zwischen Parlament und Kommission begonnen werden können. Allerdings wurden damals schon Zweifel laut, ob überhaupt ein politischer Umsetzungswille vorhanden sei. Allerdings galt zumindest damals schon eine Umsetzung vor der Europawahl 2014 als de facto ausgeschlossen.
Streitpunkt Datenschutz im öffentlichen Sektor
Neuer Streit entbrannte um einen Passus des Entwurfes, der den Mitgliedstaaten Kompetenzen bzgl. des Datenschutzes im öffentlichen Sektor entziehen sollte (Art. 2 Nr. 1 DS-GVO-E). Aufgrund des Grundsatzes der Subsidiarität der EU, wonach nur auf europäischer Ebene gehandelt werden darf, wenn die Nationalstaaten nicht zu einer mindestens ebenbürtigen Umsetzung in der Lage sind, erscheint dieser Punkt durchaus als kritisch. Zudem waren sich die Justiz- und Innenminister der EU immer wieder uneins über Detailfragen des Entwurfs, insbesondere über die behördlichen Zuständigkeiten. Angedacht ist hierfür auch die Schaffung eines EU-Datenschutzausschusses. Im März stimmte dann zumindest das EU-Parlament für den Entwurf des LIBE-Ausschusses.
Für Unternehmen sollen schärfere Regeln gelten
Nach dem Willen des Parlaments sollen für Unternehmen deutlich schärfere Regelungen zur Übermittlung von personenbezogenen Daten in Drittländer gelten. Grundsätzlich soll keine Datenübermittlung mehr ohne eine Genehmigung einer nationalen Datenschutzbehörde erfolgen dürfen. Zudem sollen die Betroffenen immer vom Unternehmen informiert werden müssen. Sollte die Datenschutzgrundverordnung mit einer entsprechenden Regelung verabschiedet werden, käme auf die Unternehmen ein deutlicher Mehraufwand zu. Hinzu kommen das Recht der Betroffenen, die Daten unter bestimmten Voraussetzungen löschen zu lassen, sowie die geplante Erhöhung der Bußgelder bei Verstößen auf bis zu 100 Mio. Euro oder 5 Prozent des weltweiten Konzernumsatzes.
Fortschritte nach der Europawahl?
Im Sommer nach der Europawahl vermeldeten die zuständigen EU-Minister Fortschritte bei der Datenschutzgrundverordnung. Zumindest in Eckpunkten hätte man sich einigen können. Bei der als Fortschritt vermeldeten Einigung der Minister handelte es sich aber nicht um neue Ergebnisse. Zwar ist man formell bei der Umsetzung ein Schritt weiter. Die vereinbarten Regelungen sind aber inhaltlich nicht neu.
Bis Jahresende keine Fortschritte bei der DS-GVO erzielt
Insofern kann zumindest am Jahresende festgestellt werden, dass die Umsetzung der Datenschutzgrundverordnung nicht wirklich vorangeschritten ist. Bei wesentlichen Punkten sind sich Parlament, Kommission und Rat uneinig. Allerdings sollen bis Jahresende in den strittigen Punkten Einigungen erzielt werden. Der Parlamentarische Berichterstatter für die Grundverordnung, Jan Philipp Albrecht, befürchtet, dass die DS-GVO hinter bestehendes nationales Recht zurückfallen könnte, da der aktuelle Entwurf bspw. überhaupt keine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten enthält. Währenddessen mahnte der Bundesjustizminister Heiko Maas eine rasche Umsetzung an.
Es bleibt also abzuwarten, was das Jahr 2015 für die europäische Datenschutzgrundverordnung bringen wird. Zumindest eine Verabschiedung erscheint als durchaus möglich. Um den genauen Inhalt der Verordnung wird mit Sicherheit noch gerungen werden.
Wer ist für seine Facebook-Fanseite verantwortlich?
Vor dem Bundesverwaltungsgericht wird im neuen Jahr eine für Unternehmen sehr relevante Frage verhandelt, die schon das Verwaltungsgericht Schleswig und das Oberverwaltungsgericht Schleswig-Holstein beschäftigt hat.
Datenschutzaufsicht verbot Unternehmen Facebook-Fanseiten
Hintergrund ist ein Bescheid des Unabhängigen Landezentrums für Datenschutz Schleswig-Holstein (ULD), der es Unternehmen untersagte, sog. Fanseiten auf Facebook zu unterhalten. Als Begründung führte das ULD an, dass die Datenverarbeitung bei Facebook nicht den deutschen Datenschutzgesetzen genüge. Folglich hätten die Unternehmen das Betreiben dieser Facebook-Fanseiten zu unterlassen und bestehende Fanseiten zu löschen. Dagegen klagten die betroffenen Unternehmen vor dem Verwaltungsgericht Schleswig, das ihnen auch Recht gab. Die Unternehmen seien datenschutzrechtlich nicht für die Fanseiten verantwortlich, da sie keine Weisungsbefugnis bzgl. der Datenverarbeitung gegenüber Facebook hätten. Dieser Ansicht folgte auch das OVG Schleswig-Holstein.
Datenschützer gehen in Revision
Das OVG ließ die Revision zum Bundesverwaltungsgericht explizit zu. Nach Ansicht der Verwaltungsrichter ist auf die Facebook-Fanseiten das deutsche Datenschutzrecht überhaupt nicht anwendbar, da Facebook seinen europäischen Sitz in Irland hat. Ob in einer solchen Konstellation deutsches Datenschutzrecht anwendbar ist, wird somit zu einer Frage, die die obersten Verwaltungsrichter in Leipzig beantworten müssen.
Connected Cars – Daten, Daten, Daten
Ein großes Thema des Jahres 2014 war für Datenschützer der Bereich ´Automotive´. Fahrzeuge sammeln, verarbeiten und übermitteln immer mehr Fahrzeugdaten und Daten über die Passagiere. Unter dem Stichwort „Connected Car“ kommen Fahrzeuge auf den Markt, die eine Verbindung mit dem Internet herstellen können. Im Fahrzeug finden sich somit enorm viele Detail-Daten aus Steuerungsgeräten über Geschwindigkeit, Brems- und Fahrverhalten, Sicherheit, Standort sowie Daten, die aus dem Bereich Infotainment und Navigation anfallen. Viele Daten werden von den Herstellern bis jetzt ausschließlich zur Wartung und technischen Sicherheit der Fahrzeuge genutzt. Der vorhandene Datenpool weckt jedoch schon länger Begehrlichkeiten auch bei anderen Stellen wie z.B. den Staatsanwaltschaften bei ihren Ermittlungen, Versicherern und den Marketing-Abteilungen der Hersteller.
Problematisch und vielfach noch ungeklärt ist das Eigentum und damit die Verwendbarkeit der personenbezogenen Daten aus diesen Systemen in unterschiedlichen Szenarien wie strafrechtlicher Verfolgung des Fahrers oder eines Dritten, bei Zugriffswünschen von Versicherungen im Schadensfall oder zur Prämienberechnung oder beispielsweise eines Fahrerprofils für gezielte Werbeansprachen. Begrifflichkeiten, wie die datenschutzrechtlich ´verantwortliche Stelle´ und zivilrechtliche Begriffe von Eigentum und Besitz sowie möglicherweise Urheberrechte können und werden hierbei künftig eine Rolle spielen.
Fahrzeugdaten und Datenschutz: eine Herausforderung für 2015
Die Aufgabe eines angemessenen Datenschutzes im Automotive-Umfeld ist nach wie vor eine Herausforderung für den Gesetzgeber, Industrie, Anwälte und Datenschützer. Die datenschutzrechtlichen Anforderungen der Hersteller an die Zulieferer steigen. Die technischen Möglichkeiten, aber auch die Wünsche und Nachfragen der Kunden nach Internet, Apps und Infotainment sowie intelligente Assistenzsysteme im Auto nehmen ebenfalls kontinuierlich zu.
Im vergangenen Jahr positionierte sich Bundesjustizminister Heiko Maas zu diesem Thema und forderte von der Autoindustrie dem Fahrer weitreichende Einflussmöglichkeiten auf die Datennutzung im Auto einzuräumen. Die Prämissen bei der Konstruktion sollen die Grundsätze des privacy by design und privacy by default sein. Ähnlich äußerten sich auch Datenschützer und Juristen. Für Märtin & Collegen ist das Automotive-Umfeld eine wachsende Herausforderung, in der wir uns als Spezialisten gut positioniert haben und in der wir unsere Mandanten auch in 2015 fachkundig beraten werden.