Zeit für ein neues Datenschutzrecht

Alle meine nächsten Nachbarn, mit denen mich ein langes freundschaftliches Verhältnis verbindet, werden in diesem Jahr 60 – damit trennen uns knapp 15 Jahre, die ich jünger bin. Bei einer der Parties anlässlich eines 60. Geburtstages saß ich kürzlich inmitten einer Runde dieses Alters, als zwei Männer ihre iPhones zückten. Ahhhh, diese neue Technik! Was so ein iPhone alles könne, wurde geschwärmt und die jeweils installierten Apps verglichen – um gleich im nächsten Satz zu ergänzen: Mit der Nutzung so eines Gerätes sei man ja gleichzeitig komplett überwacht. Die Männer stellten das fest, in etwa wie man feststellt, dass es morgen Regen geben wird.

 Allgegenwärtige Überwachung

 Wie ich denn als Profi mit den Überwachungsmöglichkeiten umgehen würde, fragte mich eine der anwesenden Frauen, die die Unterhaltung belustigt verfolgten. Ich streue meine Daten, sagte ich. Ich versuche, nicht einen Anbieter für alles zu nutzen, um eine umfassende Profilbildung an einer Stelle zu erschweren. Private Mails an einer Stelle, berufliche an anderer. Sparsame Äußerungen in Sozialen Netzwerken. Bestimmte Funktionen nutze ich gar nicht: Fotos sind bei mir auf der Festplatte gespeichert, nie in der Wolke. Manche Funktionen schalte ich nur ein, wenn ich sie brauche, so z.B. die Ortungsfunktion im iPhone. Nutzung von Pseudonymen. Ob’s nützt? Ich weiß es nicht. Aber fest steht auch, ich bin schon lange fasziniert von technischen Möglichkeiten und gedenke nicht, das Problem der allgegenwärtigen Überwachung durch umfassenden Verzicht zu lösen.

Eine Eins ist eine Eins

Einmal mehr widersprach ich im Verlauf der Unterhaltung der These, dass wir den Datenkraken ausgeliefert seien, weil die neuen technischen Möglichkeiten eben nicht zu reglementieren seien. Sicher – Technik ist immer schneller als das Recht. Ich staune jedes Mal wieder, wie diejenigen unter meinen Kunden, die Softwareentwickler sind, innerhalb kürzester Zeit Funktionen programmieren, von denen sie vor zwei Tagen noch nicht einmal wussten, dass es diese Funktionen geben kann. Die Grundlagen der Programmierung – eine Eins ist eine Eins und eine Null ist eine Null und darauf lässt sich alles weitere aufbauen – sind einfacher und schneller zu handhaben als ein Parlament, dass sich über Gesetze Gedanken machen muss.

Ein langer Prozess

Sicher ist jedoch, gerade die großen Monopolisten wie Google, Facebook und Co. müssen durch das Recht und die Durchsetzung des Rechts zur Einhaltung bestimmter Standards gezwungen werden. Zu denen gehören in erster Linie Transparenz und Wahlmöglichkeiten in Bezug auf den Umgang mit unseren persönlichen Daten. Es ist eine Frage der Zeit, bis das geschehen wird. Erste Ansätze sind in dem Vorschlag der EU-Kommission für eine europaweite Datenschutzverordnung vorhanden. Google’s neue Datenschutzerklärung allerdings zog hingegen erstaunlich wenig öffentlichen Protest nach sich.

Google‘s neue Datenschutzerklärung

Google hat gerade wieder vorgemacht, wie es nicht sein sollte. Gab es bisher für die verschiedenen Google-Dienste verschiedene Datenschutzerklärungen, wurden diese jetzt in einer einheitlichen zusammengeführt. Das wäre im Grunde gar keine schlechte Idee, doch mit der Vereinheitlichung wurde die Ankündigung verbunden, die Nutzerdaten aus unterschiedlichen Diensten zu einen einheitlichen Nutzerprofil zusammen zu führen. Selbstredend nur zum Wohle der Nutzer: “We’ll treat you as a single user across all our products, which will mean a simpler, more intuitive Google experience”, schreibt die Datenschutzbeauftragte von Google in der Ankündigung der Änderungen. „Mich erinnern solche Aussagen immer an Mielke vor der Volkskammer“, kommentierte mein Kollege kürzlich diese Nachrichten. „Ich liebe euch alle!“.

Die USA sind aufgewacht

Wenn ich mich richtig erinnere, stammt dieses Zitat aus einer Zeit, als Mielke schon längst verloren hatte, was man von Google zurzeit nicht ernsthaft behaupten kann. Wenn auch die Sache mit der Zusammenführung der Daten aus den verschiedenen Google Diensten unter kaum vernehmbarem Protest installiert wurde, sind doch die USA langsam aufgewacht und begreifen, dass es Europa ernst ist mit einem modernen Datenschutzrecht und dass dieses Recht möglicherweise unangenehme Folgen für sie haben könnte. Anders ist die Meldung nicht zu deuten, dass die USA in Gestalt ihres obersten Juristen im US-amerikanischen Wirtschaftsministerium ihre Mitwirkung bei der Neuregelung gefordert haben.

Dass Mielke verlieren würde, hat lange Zeit auch niemand ernsthaft geglaubt. Manche Veränderungen brauchen also etwas länger und früher oder später wird Google dasselbe Schicksal ereilen – voraussichtlich nicht in Form des Untergangs, aber doch dergestalt, dass sich kein großer Datenmonopolist ungestraft eine Datenschutzerklärung wird leisten können, die mehr verschleiert als erklärt. Beispielsweise.

Quellen zum Thema:

 (1) http://www.spiegel.de/netzwelt/netzpolitik/0,1518,811359,00.html

„Datenschützer empfiehlt Streubesitz“

 (2) http://googleblog.blogspot.com/2012/01/updating-our-privacy-policies-and-terms.html

Google Blog am 24.1.12

 (3) http://www.spiegel.de/netzwelt/web/0,1518,818105,00.html

„Googles neuer Daten Schmu“

 (4) http://futurezone.at/netzpolitik/7754-eu-kommission-google-verstoesst-gegen-eu-gesetz.php

EU Kommission: Google verstößt gegen EU-Gesetz

 (5) http://futurezone.at/produkte/7719-eric-schmidt-niemand-muss-google-nutzen.php

Eric Schmidt: “Niemand muss Google nutzen”

 (6) http://www.datenschutz.de/news/detail/?nid=5287

USA wollen beim EU-Datenschutz mitreden

Reform der EU-Datenschutzvorschriften (2)

In der im Beitrag vom 25. Januar zitierten Pressemitteilung der EU zu den Reformplänen in Sachen Datenschutz war eine recht einschneidende Änderung nicht erwähnt: Die Kommission plant, die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten im Regelfall erst ab einer Mitarbeiterzahl von 250 verbindlich zu machen.

 Nur noch ein Bruchteil deutscher Unternehmen verpflichtet

 Nach den derzeit in Deutschland gültigen Vorschriften des Bundesdatenschutzgesetzes ist die Bestellung eines betrieblichen Datenschutzbeauftragten schon dann verpflichtend, wenn mindestens 10 Personen in einem Unternehmen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Sollte also die EU-Verordnung europaweit in Kraft treten, wäre nur noch ein verschwindend geringer Prozentsatz der deutschen Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen. Im Gegensatz zu einer Richtlinie ist eine Verordnung unmittelbar geltendes Recht und muss nicht in nationale Gesetze umgesetzt werden. In der Wirkung ist sie einem Gesetz vergleichbar; die bei der Richtlinie bestehenden nationalen Spielräume zur Ausfüllung entfallen.

 Keine gute Idee

 Die Gesellschaft für Datenschutz und Datensicherheit (GDD) nennt diese Pläne „für die Grundrechtsposition des Datenschutzes äußerst kontraproduktiv“. Nach Einschätzung der GDD würden sich in Folge viele Unternehmen unterhalb des Schwellenwertes unzureichend um die Umsetzung Datenschutzvorschriften kümmern. Auch unter wirtschaftlichen Aspekten sei das Vorhaben wenig sinnvoll, denn das in der Person des oder der Datenschutzbeauftragten gebündelte Know-How würde verloren gehen und die Fachabteilungen müssten es sich aufwändig selber aneignen.

 Durch praktische Erfahrung bestätigt

 Diese Einschätzung wird durch unsere praktische Erfahrung aus rund 12 Jahren Tätigkeit als externe betriebliche Datenschutzbeauftragte bestätigt. Zwar hängt die Tatsache, ob ein Unternehmen sich um die Etablierung und Einhaltung von guten Datenschutzstandards kümmert oder nicht, nicht ausschließlich an der Zahl der Mitarbeiter und damit an der gesetzlichen Verpflichtung. Das Wissen um die gesetzliche Verpflichtung zur Bestellung von Datenschutzbeauftragten ist aber oft ein erster Anstoß, sich überhaupt mit der Thematik zu beschäftigen. Für viele Unternehmen ist darüber hinaus der von Aufraggebern oder Kunden ausgeübte Druck maßgeblich, die Einhaltung von Datenschutz-Mindeststandards nachzuweisen. Diese aufzubauen und für die Einhaltung zu sorgen gelingt in der Regel durch die Beschäftigung von Datenschutzbeauftragten am besten, seien sie intern oder extern tätig.

 Nicht nur die formale Pflicht entscheidet

 Andererseits sind auch andere Faktoren als nur die formale Pflicht zur Benennung eines Datenschutzbeauftragten ausschlaggebend für den sorgsamen Umgang mit personenbezogenen Daten in Unternehmen. Den Datenschutzbeauftragten muss von Seiten der Unternehmen Zeit und Unterstützung eingeräumt werden, die der Aufbau einer Datenschutzorganisation braucht. Datenschutzbeauftragte müssen ernst genommen werden und sie selbst müssen ihre Funktion nicht nur als ein lästiges Übel unter vielen wichtigeren Aufgaben begreifen. Die gesetzliche Pflicht, Datenschutzbeauftragte zu bestellen, unterstützt diese aber insofern, als sie dem Tun der Datenschutzbeauftragten den formalen Nachdruck verleiht. Die EU-Kommission täte also gut daran, die Grenze von 250 Beschäftigten zu überdenken, wenn sie ernsthaft an besseren Datenschutzstandards in Europa interessiert ist.

 Gesetzgebung braucht Zeit

 Gut Ding will Weile haben. Die Vorschläge der Europäischen Kommission für eine EU-Datenschutzverordnung müssen vom Europäischen Parlament und vom Rat der Europäischen Union, in welchem die Mitgliedstaaten vertreten sind, verhandelt und im sogenannten ordentlichen Gesetzgebungsverfahren angenommen werden. Das ist nicht mal eben so erledigt und vor allem nicht vor dem Hintergrund der Komplexität der Datenschutzmaterie. Es ist daher mit mehrjährigen Verhandlungen in Brüssel und Straßburg zu rechnen. Bis zum Inkrafttreten des neuen Rechts gilt die EU-Datenschutzrichtlinie 95/46/EG weiter.

Reform der EU-Datenschutzvorschriften

Die Europäische Kommission hat heute eine umfassende Reform der EU-Datenschutzvorschriften vorgeschlagen. Die jetzt gültigen Datenschutzvorschriften stammen aus dem Jahr 1995, also quasi aus dem Mittelalter, wenn man die technische Entwicklung zum Maßstab nimmt.

Reformziele

Dementsprechend benennt es die Kommission als erstes Ziel, die Online-Rechte des Einzelnen auf Wahrung der Privatsphäre zu stärken und die digitale Wirtschaft Europas anzukurbeln. Eine einheitliche Regelung der Datenschutzvorschriften soll der jetzt der bestehenden Zersplitterung in viele einzelne nationalstaatliche Gesetze und dem daraus resultierenden hohen Verwaltungsaufwand für die Unternehmen ein Ende bereiten. Das Vertrauen der Verbraucher in Onlinedienste gestärkt soll gestärkt werden, in der Hoffnung, dass auf diese Weise Anreize für mehr Wachstum, Arbeitsplätze und Innovationen in Europa gesetzt werden.

Übersicht über die wichtigsten Änderungsvorschläge

Hier ist eine Übersicht der wichtigsten Änderungen, die ich der Presseerklärung der EU-Kommission von heute entnommen habe. Dies ist der Originaltext der Presseerklärung; die teilweise etwas unklaren Formulierungen finden sich darin:

• Künftig wird es ein EU-weit geltendes Gesamtregelwerk für den Datenschutz geben. Unnötige administrative Anforderungen wie bestimmte Meldepflichten für Unternehmen werden beseitigt. Dadurch werden Unternehmen Kosten in Höhe von etwa 2,3 Mrd. EUR jährlich einsparen.

• Anstelle der bisher den Unternehmen obliegenden Pflicht, den Datenschutzbeauftragten sämtliche datenschutzrelevanten Tätigkeiten zu melden (was den Unternehmen unnötigen Verwaltungsaufwand sowie Kosten in Höhen von 130 Mio. EUR jährlich verursacht hat), sieht die vorgeschlagene Datenschutzverordnung künftig mehr Verantwortung sowie eine verschärfte Rechenschaftspflicht sämtlicher Verarbeiter personenbezogener Daten vor.

• Unternehmen und Organisationen sollen beispielsweise bei einer schweren Verletzung des Schutzes personenbezogener Daten künftig die nationale Aufsichtsbehörde unverzüglich (d. h. nach Möglichkeit binnen 24 Stunden) benachrichtigen müssen.

• Alleiniger Ansprechpartner für Organisationen wird künftig die nationale Datenschutzbehörde des EU-Landes sein, in dem sie ihre Hauptniederlassung haben. Ebenso sollen sich Bürger künftig auch dann an die Datenschutzbehörde ihres Landes wenden können, wenn ihre Daten von einem außerhalb der EU niedergelassenen Unternehmen verarbeitet werden. In Bezug auf Datenverarbeitungen, die der vorherigen Genehmigung bedürfen, wird nunmehr klargestellt, dass die Genehmigung ausdrücklich erteilt werden muss und nicht stillschweigend vorausgesetzt werden darf.

• Die Bürger sollen leichter auf ihre eigenen Daten zugreifen und diese bei einem Wechsel zu einem anderen Dienstleistungsanbieter „mitnehmen” können (Recht auf Datenportabilität). Dadurch wird der Wettbewerb unter den Anbietern derartiger Dienste zunehmen.

• Das „Recht auf Vergessenwerden“ soll eine bessere Beherrschung der bei Onlinediensten bestehenden Datenschutzrisiken ermöglichen. Alle Bürger sollen das Recht erhalten, ihre eigenen Daten zu löschen, wenn keine legitimen Gründe für deren Vorhaltung bestehen.

• Jedwede außerhalb der EU erfolgende Bearbeitung von personenbezogenen Daten durch auf dem EU-Markt aktive Unternehmen, die ihre Dienste den EU-Bürgern anbieten, soll künftig den EU-Vorschriften unterliegen.

• Die Unabhängigkeit der nationalen Datenschutzbehörden soll gestärkt werden, damit diese die EU-Vorschriften in ihren Ländern besser durchsetzen können. Beispielsweise sollen die nationalen Datenschutzbehörden künftig Geldbußen gegen Unternehmen verhängen können, die gegen die Datenschutzbestimmungen der EU verstoßen. Die Höhe der Geldbuße soll bis zu 1 Mio. EUR oder 2 % des Jahresumsatzes eines Unternehmens betragen können.

• Durch eine neue Datenschutzrichtlinie sollen allgemeine Datenschutzgrundsätze und –regeln für die polizeiliche und justizielle Zusammenarbeit in Strafsachen eingeführt werden. Die Bestimmungen sollen sowohl für inländische als auch für grenzüberschreitende Datenübermittlungen gelten.

Die Vorschläge der Kommission werden nun dem Europäische Parlament und den EU-Mitgliedstaaten (d. h. dem EU-Ministerrat) zur weiteren Erörterung übermittelt. Sie sollen zwei Jahre nach ihrer Annahme in Kraft treten.

Quelle der Pressemitteilung:

http://europa.eu/rapid/pressReleasesAction.do?reference=IP%2F12%2F46&format=HTML&aged=0&language=DE&guiLanguage=en

 

Unterstützung für die Datenschutz-Initiative der EU-Kommission

Quelle: Virtuelles Datenschutzbüro (datenschutz.de)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:

Unterstützung für die Datenschutz-Initiative der EU-Kommission

Die von der Europäischen Kommission für den heutigen Tag angekündigte Mitteilung zur Weiterentwicklung des europäischen Datenschutzrechts ist aus Sicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Peter Schaar, eine gute Grundlage für die notwendige Datenschutzmodernisierung. Dabei geht es vor allem um die Verbesserung des Datenschutzes im Internet sowie bei den Sicherheitsbehörden.
Schaar erklärt: Ich begrüße den ehrgeizigen Ansatz, die Regelungen der EU-Datenschutzrichtlinie von 1995 an die technologischen Entwicklungen anzupassen. Der Kommission ist darin zuzustimmen, dass das durch die Grundrechte-Charta gewährleistete Recht der EU-Bürgerinnen und Bürger auf Schutz ihrer persönlichen Daten uneingeschränkt auch im Verhältnis zu Nicht-EU-Staaten gelten muss.

Dies, so Schaar, gelte für die Verarbeitung persönlicher Daten durch globale Internetunternehmen wie Google und Facebook. Das Grundrecht der Bürgerinnen und Bürger auf Schutz ihrer Daten müsse aber auch gegenüber staatlichen Behörden gestärkt werden.

Schaar:

Die Skepsis der Bürger gegenüber der Übermittlung etwa ihrer Flug- oder Kontodaten durch Sicherheitsbehörden anderer Staaten muss ernst genommen werden. Ich unterstütze daher die Absicht der Kommission, die Grundprinzipien des EU-Datenschutzes auch auf die europäische und internationale Zusammenarbeit von Polizei- und Justizbehörden auszudehnen.
Bedeutsam sind auch die Vorstellungen der Kommission zur Einführung eines Grundsatzes in das europäische Datenschutzrecht, wonach die Entwickler und Hersteller von IT-Systemen und -Anwendungen von vornherein datenschutzfreundliche Technologien in ihre Produkte integrieren sollen. Die generelle Anwendung dieser ?Privacy by Design? genannten Methode wurde auch jüngst von der 32. Internationalen Datenschutzkonferenz in Israel gefordert.
Ich unterstütze ferner die Vorstellungen der Kommission im Hinblick auf die künftige Rolle der Datenschutzbehörden aller Mitgliedstaaten. Sie müssen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen und über wirksame Instrumente zur Durchsetzung der Datenschutzanforderungen verfügen. Hier gibt es sowohl auf Bundes- wie auf Länderebene erheblichen Nachholbedarf.
Ich fordere die Bundesregierung auf, sich in den anstehenden Beratungen auf EU-Ebene für höhere Rechtsstandards sowohl im privaten als auch im öffentlichen Bereich gerade im internationalen Verhältnis einzusetzen.

Die Kommission hat wohl ein Vorschlagsrecht für neue Datenschutzregeln auf EU-Ebene. Im Ergebnis entscheiden aber die Mitgliedstaaten und das Europäische Parlament darüber, ob diese in Gesetzesform gegossen werden.
Die heute veröffentlichte Mitteilung der Europäischen Kommission Ein Gesamtkonzept für den Datenschutz in der Europäischen Union ist Bestandteil der für das kommende Jahr von der Europäischen Kommission angekündigten Überarbeitung der EU-Datenschutzrichtlinie 95/46/EG aus dem Jahre 1995. Das Vorhaben gilt als eine der politischen Prioritäten der Europäischen Kommission im Bereich der EU-Justiz- und Innenpolitik.