Kernpunkte:
- Europäischer Gerichtshof
- Safe Harbor
- Internationale Kooperation
11 Europa und Internationales
Der Datenschutz in Schleswig-Holstein wird stark geprägt durch europäisches Recht. Die europäische Datenschutzrichtlinie aus dem Jahr 1995 musste vom Landesgesetzgeber umgesetzt werden, letztlich auch im Hinblick auf die Unabhängigkeit der Aufsichtsbehörde (34. TB, Tz. 1.1). Mit Artikel 8 der Europäischen Grundrechtecharta kam die EU dem nationalen Verfassungsgeber bei der expliziten Zusicherung eines Datenschutzgrundrechtes zuvor (Tz. 3.3). Die Rechtsprechung des Europäischen Gerichtshofes gewinnt immer mehr an praktischer Relevanz für die konkrete Anwendung des Datenschutzrechtes (Tz. 11.1). Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) wird für private wie öffentliche Stellen direkt anwendbar sein (Tz. 2.2).
11.1 EuGH – ein neuer Motor der Datenschutzrechtsprechung
Das ULD wird von der schleswig-holsteinischen Verwaltungsgerichtsbarkeit nicht gerade verwöhnt. In verwaltungsrechtlichen Streitverfahren urteilte diese, dass das ULD für die Datenschutzkontrolle von US-Anbietern wie z. B. Facebook nicht zuständig sei, selbst dann nicht, wenn eine Stelle in Schleswig-Holstein die Dienstleistung des US-Anbieters in Anspruch nimmt (Tz. 7.1). In der Auseinandersetzung um die von Facebook erzwungene Klarnamenpflicht wurde dem ULD von den Gerichten des Landes bescheinigt, dass insofern deutsches Datenschutzrecht nicht anwendbar sei (Tz. 7.2).
Bessere Karten scheint der Datenschutz beim Europäischen Gerichtshof zu haben. Dieser urteilte im Mai 2014, dass Google als Suchmaschine in Spanien dem spanischen Datenschutzrecht und der lokalen Datenschutzaufsicht unterliegt. Die Urteilsgründe lassen sich auf viele US-Internetangebote – auch auf die in Schleswig-Holstein bereitgestellten und genutzten – übertragen. Damit wurde mit einem Schlag europaweit klargestellt, dass es nicht darauf ankommt, ob eine Niederlassung tatsächlich die Datenverarbeitung durchführt oder rechtlich beherrscht. In Vorwegnahme der insofern klaren EU-DSGVO gilt nach derzeit gültigem Recht das Marktortprinzip.
Diese Rechtsprechung hat auch Relevanz für die Frage der Verantwortlichkeit von Fanpage-Betreibern, die inzwischen zur Revision beim Bundesverwaltungsgericht (BVerwG) liegt (Tz. 7.1). Schon in der Vorinstanz hatte das ULD gegenüber dem Gericht angeregt, bei Unsicherheit über die Frage der datenschutzrechtlichen Verantwortlichkeit diese dem EuGH zur Beantwortung vorzulegen. Diese Anregung hat das ULD im Revisionsverfahren gegenüber dem BVerwG wiederholt. Der Antwort des EuGH käme eine europaweite Bedeutung zu. Angesichts der rechtlich bestehenden Unsicherheit würde so schnell Rechtsklarheit geschaffen.
Bisher war europaweit unbestritten das deutsche Bundesverfassungsgericht (BVerfG) Schrittmacher in der europäischen Rechtsprechung zum Datenschutz mit vielen Urteilen, u. a. dem Volkszählungsurteil von 1983, in dem das Recht auf informationelle Selbstbestimmung abgeleitet wurde, und dem Online-Durchsuchungsurteil von 2008, das ein Recht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme begründete. Neben das BVerfG ist nun der EuGH mit seinen Urteilen zu Google und im Februar 2014 zur Vorratsdatenspeicherung getreten: Im letzteren Urteil bestätigt der EuGH, dass eine Vorratsdatenspeicherung von Telekommunikationsverbindungsdaten nur unter engen materiell-rechtlichen und prozessualen Voraussetzungen zugelassen werden kann. Im Juni legte der irische High Court dem EuGH die Frage nach der Verbindlichkeit des Safe-Harbor-Beschlusses der EU-Kommission aus dem Jahr 2000 vor (Tz. 11.3).
Was ist zu tun?
Besteht Unklarheit bei der Auslegung europäischen Datenschutzrechts, so sollten nationale Gerichte prüfen, ob sie die Frage nicht dem EuGH zur Beantwortung vorlegen wollen.
11.2 USA – unser Freund, Spion und Konkurrent
Das traditionell freundschaftliche Verhältnis Deutschlands zu den USA ist in Sachen Datenschutz schon lange getrübt. Weit vor den Enthüllungen von Edward Snowden (Tz. 2.1) war klar, dass staatliche wie private Kommunikationspartner in den USA kein Verständnis für Datenschutz und keinen Respekt für europäische Grundrechtsstandards zeigen – anders als viele US-Bürgerrechtsorganisationen und -aktivisten. Hinsichtlich digitaler Grundrechte gibt es offiziell keine US‑europäische Wertegemeinschaft. Vielmehr demonstrieren US-Unternehmen wie US-Behörden, dass sie ihre globale sicherheitspolitische Dominanz bzw. ihr Profitstreben über die Achtung des Datenschutzes stellen. Dies zeigt sich bei sicherheitsbehördlichen Kooperationen, etwa dem Austausch von Bank- oder Fluggastdaten oder der Terrorismusbekämpfung. Ebenfalls deutlich wird dies bei auf dem europäischen Markt agierenden US-Internetunternehmen (34. TB, Tz. 11.4). Dies hat vertrauensmindernde Konsequenzen bei der Einschaltung von US-Dienstleistern, etwa im Rahmen der Auftragsdatenverarbeitung bzw. des Cloud Computing (Tz. 5.5; 34. TB, Tz. 11.5).
Aktuelles Beispiel für die reine Interessen- und fehlende Wertegeleitetheit der relevanten US-amerikanischen Stellen ist deren Versuch, über diplomatischen Einfluss und Lobbyarbeit das Datenschutzniveau der Europäischen Datenschutz-Grundverordnung, das dann europaweit auch für US-Unternehmen verbindlich sein wird, abzusenken (Tz. 2.2).
Ein weiteres Beispiel sind die Versuche von US‑Administration und -Wirtschaft, auf die Verhandlungen zu einem transatlantischen Freihandelsabkommen zwischen den USA und der Europäischen Union Einfluss zu nehmen. Sie wollen, dass US-Unternehmen im Rahmen der „Trans-Atlantic Trade and Investment Partnership“ (TTIP) von datenschutzrechtlichen Bindungen freigestellt werden. Dies hätte eine Festschreibung des derzeitigen Wettbewerbsvorteils von US-Unternehmen gegenüber ihrer europäischen Konkurrenz zur Folge, die einer direkteren und wirksameren Datenschutzkontrolle unterliegt als bisher noch die Wettbewerber von Übersee. Ein Erfolg der Bestrebungen von US-Seite hätte ein Abweichen von Artikel XIV des GATS-Abkommens der Welthandelsorganisation WTO zur Folge, wonach Datenschutzregeln nicht als Handelshemmnis angesehen werden. Bisher ist nicht erkennbar, dass die europäische Seite dem US-amerikanischen Werben bei den TTIP-Verhandlungen folgen will.
https://www.datenschutzzentrum.de/artikel/772-.html
Was ist zu tun?
Das Verhältnis Deutschlands zu den USA, soll es eine Partnerschaft sein, muss sich an grundrechtlichen Werten orientieren.
11.3 Safe Harbor
Mit seiner „Safe Harbor“-Entscheidung erkannte die Europäische Kommission im Juli 2000 die vom US-Handelsministerium herausgegebenen „Grundsätze des sicheren Hafens zum Datenschutz“ an und wollte damit eine verlässliche Grundlage für die Übermittlung personenbezogener Daten in die Vereinigten Staaten schaffen. US-amerikanische Unternehmen sollten nach Abgabe von Selbstverpflichtungen und bei Beachtung bestimmter Formalitäten als vertrauenswürdige Datenempfänger behandelt werden können.
Allerdings haben nicht erst die Erkenntnisse aus den Veröffentlichungen der Snowden-Dokumente Zweifel an der Wirksamkeit der Safe-Harbor-Grundsätze geweckt (32. TB, Tz. 11.4). Die Safe-Harbor-Grundsätze wurden in Evaluationen als zu unbestimmt kritisiert und die Einhaltung durch die teilnehmenden Unternehmen infrage gestellt (34. TB, Tz. 11.4). Die ungenügende Kontrolle durch das zuständige US-Handelsministerium wurde frühzeitig bemängelt. Das ULD hatte im August 2012 dem US-Handelsministerium eine ausführliche Aufstellung zu den Datenschutzverstößen durch die Facebook Inc. übersandt (34. TB, Tz. 7.1.4), hierauf aber niemals eine inhaltliche Reaktion erhalten.
Die bekannt gewordene Überwachung des weltweiten Datenverkehrs durch die NSA demonstriert, wie wirkungslos die Safe-Harbor-Grundsätze 14 Jahre nach ihrer Anerkennung durch die Kommission in der Praxis heute sind. Das massenhafte Auslesen von Daten aus Infrastruktursystemen US-amerikanischer Provider und die rechtsstaatlich nicht überprüfbaren Herausgabepflichten vieler US-amerikanischer Dienstleister haben zur Folge, dass in gerichtlichen und behördlichen Verfahren infrage gestellt wird, ob die Safe-Harbor-Grundsätze überhaupt noch eine Schutzwirkung für Betroffene entfalten können.
Die massenhafte Überwachung des Internets durch den amerikanischen Geheimdienst hat die Schutzwirkung der Safe-Harbor-Grundsätze praktisch aufgehoben.
Mit Blick auf die systematische Verletzung der Datenschutzrechte, denen die Nutzer amerikanischer Dienste ausgesetzt sind, haben die EU-Kommission in ihrer Mitteilung an das Europäische Parlament und den Rat vom November 2013, der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments in seinem Bericht vom Februar 2014 sowie die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme 04/2014 vom April 2014 jeweils festgestellt, dass eine große Wahrscheinlichkeit dafür besteht, dass die Safe-Harbor-Grundsätze keinen angemessenen Schutz vor den anlasslosen und flächendeckenden Zugriffen der NSA gewährleisten können.
Demgemäß entschied der irische High Court in einem Verfahren gegen die irische Datenschutzaufsicht wegen der Datenverarbeitung von Facebook im Juni 2014, dem Europäischen Gerichtshof die Frage nach der Verbindlichkeit des Safe-Harbor-Beschlusses der EU-Kommission aus dem Jahr 2000 vorzulegen. Die Aufsichtsbehörden des Bundes und der Länder prüfen, ob und in welchem Umfang von der Möglichkeit Gebrauch gemacht werden kann, Übermittlungen nach Artikel 3 der Safe-Harbor-Entscheidung an amerikanische Organisationen auszusetzen. Danach können zuständige Behörden in den europäischen Staaten die Übermittlung an US-amerikanische Empfänger aussetzen, wenn etwa eine hohe Wahrscheinlichkeit dafür besteht, dass die Safe-Harbor-Grundsätze verletzt werden. Das ULD beteiligt sich an dieser Prüfung generell wie auch in einem konkreten Verfahren.
Was ist zu tun?
Das ULD wird prüfen, ob gegenüber Unternehmen in seinem Zuständigkeitsbereich von der Aussetzungsbefugnis Gebrauch zu machen ist.
11.4 Internationale Standardisierung
Die Standardisierung von Datenschutztechnologien gewinnt weiter an Bedeutung für den Grundrechtsschutz. In den Entwürfen zur Europäischen Datenschutz-Grundverordnung (EU-DSGVO) vorgesehene Aspekte können so konkretisiert werden. Diese sehen z. B. bei risikobehafteten Datenverarbeitungen Datenschutzfolgenabschätzungen (Data Protection Impact Assessments) vor. Der Parlamentsentwurf enthält Vorschläge, Datenschutzerklärungen durch grafische Symbole leichter verständlich zu machen. Verstärkt wird Bezug genommen auf den Stand der Technik („State of the Art“), ein Begriff, für dessen Auslegung oftmals auf technische Standards zurückzugreifen sein wird.
Das ULD hat im Rahmen seiner drittmittelfinanzierten Projektarbeit über sieben Jahre lang in verschiedenen Gremien der nationalen und internationalen Datenschutzstandardisierung mitgewirkt. Schwerpunkt der Arbeit war die Teilnahme an den Gremien der Internationalen Standardisierungsorganisation (ISO). Daneben brachte sich das ULD in Diskussionen beim World Wide Web Consortium (W3C) und der Internet Engineering Task Force (IETF) ein.
Ein zentraler Standard für die Arbeit in der ISO ist der Rahmenstandard „ISO/IEC 29100 – Privacy Principles“. Aufbauend auf den in diesem Dokument beschriebenen Prinzipien wurden mehrere Projekte mit großer Praxisorientierung initiiert. So wurde ein Standard für Auftragsdatenverarbeiter in Cloud-Computing-Umgebungen veröffentlicht (ISO/IEC 27018); die Arbeit an einem Standard für Datenschutzfolgenabschätzungen (ISO/IECC 29134) dauert noch an. Jüngst initiierte zudem die japanische Standardisierungsorganisation JISC (Japanese Industrial Standards Committee) eine Untersuchung zur Entwicklung von Standards für Datenschutzerklärungen, die erhebliches Potenzial für die Vereinfachung solcher Erklärungen birgt.
Auf europäischer Ebene ergriff die französische Standardisierungsorganisation die Initiative für die Gründung einer Arbeitsgruppe zu Datenschutztechnologien innerhalb des europäischen Standardisierungskommitees (CEN). Zudem ist die Kooperation verschiedener Datenschutzbehörden, u. a. auch des ULD, im europäischen Netzwerk IPEN zu Datenschutztechnik im Internet zu nennen (Tz. 11.5).
Die Entwicklung von Datenschutztechnik und ihre Standardisierung ist dem ULD aufgrund von Drittmittelförderungen möglich. Sie gehört nicht zum traditionellen Kernauftrag der Arbeit von Datenschutzbehörden. Bedauerlicherweise ist daher die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – anders als etwa ihre Kollegen aus Frankreich – in der internationalen technischen Standardisierung bisher nicht oder nur wenig präsent. Um der wachsenden Bedeutung technischer Standards gerecht zu werden, ist hier möglicherweise eine Ausweitung der Tätigkeiten zu erwägen.
Was ist zu tun?
Datenschutzexpertisen sollten bei der Standardisierung stärker einbezogen werden, insbesondere über Datenschutzbehörden, denen dafür ausreichende Mittel zur Verfügung zu stellen sind.
11.5 Technikgestaltung im Internet Privacy Engineering Network (IPEN)
Das Internet hat sich zum Rückgrat der Informationsgesellschaft gemausert und birgt eine Menge Risiken für den Datenschutz, was kein Wunder ist: Die meisten technischen Komponenten und Spezifikationen wurden nicht unter Datenschutzgesichtspunkten entwickelt, und „Privacy by Design“ ist auch in den Anwendungen bislang viel zu wenig anzutreffen.
Angesichts dieser Situation hat der Europäische Datenschutzbeauftragte 2014 das „Internet Privacy Engineering Network“ (IPEN) gegründet. Dieses Netzwerk soll die Communitys der Entwickler und der Datenschutzexperten zusammenbringen. Beschäftigte bei Datenschutzbehörden mit Informatik- oder sonstigem technischen Hintergrund sollen sich einbringen, um zu helfen, Datenschutzfunktionalität in Internetanwendungen zu integrieren oder Datenschutztools zu implementieren: „Privacy Engineering“. Vertreterinnen und Vertreter aus Unternehmen, der Open-Source-Community sowie Wissenschaft und Forschung sind in dem Netzwerk beteiligt. Das ULD, das sich bereits seit über 20 Jahren für Datenschutz durch Technik und für die Integration von Datenschutzanforderungen in allen Phasen der Systemgestaltung einsetzt, gehört zu den Gründungsmitgliedern von IPEN. Auch Kollegen der Datenschutzbehörden aus England, Frankreich, Irland und den Niederlanden sowie der Berliner Beauftragte für Datenschutz und Informationsfreiheit unterstützen das Team des Europäischen Datenschutzbeauftragten bei der IPEN-Initiative.
Zum Arbeitsprogramm von IPEN gehört die Entwicklung von wiederverwendbaren Bausteinen, Designmustern und sonstigen Komponenten für mehr Datenschutz. Es soll eine öffentliche Wissensdatenbank aufgebaut werden, die dokumentierte Best-Practice-Lösungen – von Konzepten bis zum Softwarecode – aufnimmt und bewertet. Vor allem zielt IPEN auf ein besseres Verständnis für Datenschutzfragen und technische Möglichkeiten ab. Dies ist für ein echtes „Privacy by Design“ nötig. So kann IPEN Maßstäbe setzen für die Auslegung der kommenden Europäischen Datenschutz-Grundverordnung in Bezug auf „Privacy by Design“ und „Privacy by Default“. Das ULD wird hier insbesondere Ergebnisse aus den Modellprojekten (Tz. 8) und Erfahrungen aus dem Audit- und Gütesiegelbereich (Tz. 9) einbringen.
Das Internet Privacy Engineering Network tauscht sich per Mailinglist, in Telefonkonferenzen, auf Kollaborationsplattformen im Internet sowie in Veranstaltungen an verschiedenen Orten Europas aus. Es ist offen für alle Interessierten, die konstruktiv an einem verbesserten Datenschutz im Internet mitarbeiten möchten.
https://secure.edps.europa.eu/EDPSWEB/edps/lang/de/EDPS/IPEN
Was ist zu tun?
Das ULD wird sich weiterhin an IPEN beteiligen und lädt andere Datenschutzexpertinnen und -experten aus Wissenschaft, Industrie und Verwaltung sowie Systementwickler und andere Menschen aus der Praxis zur Mitarbeit ein.
11.6 eIDAS – elektronische Authentisierung und Identifizierung
Weitgehend unbemerkt von der Öffentlichkeit trat im Sommer 2014 die eIDAS-Verordnung in Kraft, die auf europäischer Ebene den Rechtsrahmen für elektronische Identifizierungsmittel und Signaturen definiert. Damit soll das Vertrauen in elektronische Transaktionen im Binnenmarkt gestärkt werden.
Noch sind viele Fragen offen, denn die konkreten Festlegungen werden großteils in weiteren Rechtsakten der Europäischen Kommission getroffen. Das ist unbefriedigend, weil die eIDAS-Verordnung vermutlich künftig erhebliche Auswirkungen auf die digitalen Lebensbereiche der Bürgerinnen und Bürger in der EU haben wird – zumindest hinsichtlich grenzüberschreitender Transaktionen. Die aus Datenschutzsicht besonders relevante elektronische Identifizierung der eIDAS-Verordnung adressiert zunächst den öffentlichen Bereich mit E‑Government-Anwendungen, aber mit der aufzubauenden Infrastruktur soll auch der private Sektor erfasst werden.
Bei der 2014 beschlossenen europäischen Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (EU-Verordnung Nr. 910/2014), auch bekannt unter dem Namen eIDAS-Verordnung, handelt es sich um den Nachfolger der Signaturrichtlinie von 1999. Sie geht im Anwendungsbereich aber weit darüber hinaus: Zusätzlich zu elektronischen Signaturen werden Methoden zur EU‑weiten elektronischen Identifizierung und zu sogenannten Vertrauensdiensten normiert. Zu den Vertrauensdiensten gehören digitale Angebote zur Signaturerstellung und -validierung, zu elektronischen Siegeln, zur Zustellung elektronischer Einschreiben, zu Zertifikaten für die Website-Authentifizierung sowie Archivdienste für Signaturen, Siegel oder Zertifikate. Die eIDAS-Verordnung ist bereits in Kraft und gilt in großen Teilen ab Mitte 2016. In einigen Bereichen sind zunächst konkretisierende Rechtsakte zu erlassen.
Die elektronische Identifizierung wird wie folgt vorgesehen: Die EU-Mitgliedstaaten notifizieren ein oder mehrere ihrer national verwendeten eID-Systeme, die einem bestimmten Sicherheitsniveau genügen müssen. In Deutschland könnte dies beispielsweise der elektronische Personalausweis sein, der in anderen Ländern zurzeit nicht unterstützt wird (33. TB, Tz. 4.1.1). Dies soll sich ändern: Nach der eIDAS-Verordnung müssen die notifizierten eID-Systeme von allen anderen Mitgliedstaaten für grenzüberschreitende Transaktionen, z. B. Behördendienste, anerkannt werden. So könnten deutsche Bürgerinnen und Bürger ihren elektronischen Personalausweis im E-Government etwa gegenüber französischen Behörden verwenden, beispielsweise bei einem Umzug nach Frankreich.
Technisch notwendig ist dafür eine interoperable Infrastruktur, für die die eIDAS-Grundlage Anforderungen definiert. Die genaue Ausgestaltung ist noch offen. Eine naheliegende Realisierung bestünde darin, dass jeder Mitgliedstaat ein oder mehrere Gateways einrichtet, die in der grenzüberschreitenden Kommunikation zwischengeschaltet werden und die nachgewiesenen Identitäten konvertieren. Diese Idee der Identitätsvermittler spielt auch im Projekt FutureID (Tz. 8.2.2) eine zentrale Rolle. Die Mitgliedstaaten müssen gewährleisten, dass diese Gateways korrekt funktionieren. Aus Haftungsgründen läge es nahe, sämtliche grenzüberschreitende E-Government-Kommunikation – und bei Verwendung dieser Systeme im privaten Sektor auch solche Kommunikation – zu protokollieren.
Nachdem im ersten öffentlichen Entwurf der eIDAS-Verordnung Datenschutzfragen kaum eine Rolle gespielt hatten, wurde in der beschlossenen Version nachgelegt: Artikel 5 enthält den Hinweis auf die Einhaltung der EU-Datenschutzrichtlinie und stellt klar, dass die Benutzung von Pseudonymen bei elektronischen Transaktionen nicht untersagt werden darf. Die zu entwickelnde Infrastruktur muss die Umsetzung des Grundsatzes des „eingebauten Datenschutzes“ (Privacy by Design) fördern. Was das bedeutet und ob damit das Überwachungspotenzial der Identitätsvermittler zurückgestutzt wird, ist jedoch nicht klar.
Schon zu einem frühen Zeitpunkt wies das ULD auf dieses Risiko hin und mahnte zudem an, nicht stets eine volle elektronische Identifizierung vorzunehmen, sondern auch datensparsamere Authentisierungsmöglichkeiten zu ermöglichen. An einigen Stellen der Verordnung erfolgt nun der Verweis auf eine Authentifizierung: Es sollen nur solche Identifizierungsdaten verarbeitet werden, die für den Zugang zum Online-Dienst erforderlich sind – z. B. die Information „volljährig“ anstelle eines genauen Geburtsdatums. Da bislang außer dem deutschen Personalausweis kaum eines der verbreiteten nationalen eID-Systeme solche Datenreduktionen unterstützt, wird diese Idee aber womöglich ins Leere laufen. Abhilfe wäre möglich durch attributbasierte Berechtigungsnachweise (Tz. 8.2.1) – doch dafür müssten darauf aufbauende Verfahren von den Mitgliedstaaten zusätzlich notifiziert werden.
Was ist zu tun?
Bei der Definition der konkretisierenden Rechtsakte müssen Datensparsamkeitsprinzipien in den Vordergrund gestellt werden. Die europäischen Mitgliedstaaten sollten datenschutzfreundliche eID-Verfahren notifizieren.
11.7 Simulationsübung zu grenzüberschreitenden Datenschutzvorfällen
Gelangen personenbezogene Daten Dritten unrechtmäßig zur Kenntnis, spricht man von einem Datenschutzvorfall. Zumindest wenn es sich um sensible Daten handelt und daraus schwerwiegende Risiken für die Betroffenen resultieren, muss die verantwortliche Stelle die Aufsichtsbehörde und möglicherweise auch die Betroffenen unverzüglich informieren. Wie kann dies grenzüberschreitend funktionieren?
In der globalisierten Welt betreffen Datenschutzvorfälle häufig nicht nur eine Region, sondern zeigen Auswirkungen in mehreren Nationen. Dies war in der Vergangenheit beispielsweise der Fall bei international agierenden Auktionsplattformen im Internet, Telekommunikationsfirmen oder Anbietern von Online-Spielen oder Entertainment-Diensten. Die verantwortlichen Stellen unterliegen zwar in Europa der Meldepflicht über solche Vorfälle, doch gelangen häufig die Informationen – sofern überhaupt eine zeitnahe Benachrichtigung einer Aufsichtsbehörde stattfindet – nicht oder zu langsam an die Betroffenen. Die 2013 eingeführte EU-Verordnung 611/2013, welche die Benachrichtigungspflicht nach der E-Privacy-Richtlinie konkretisiert, fordert eine Zusammenarbeit der zuständigen nationalen Behörden in Fällen grenzübergreifender Verletzungen des Schutzes personenbezogener Daten.
Meldepflichten über Datenschutzvorfälle
Meldepflichten über Datenschutzvorfälle bestehen im Telekommunikationsrecht (§ 109a TKG), im Bundesdatenschutzgesetz (§ 42a BDSG) und auch in mehreren Landesdatenschutzgesetzen (z. B. § 27a LDSG Schleswig-Holstein). Für den Telekommunikationssektor erstreckt sich die Benachrichtigungspflicht seit 2009 auch auf den europäischen Bereich (Artikel 4 Abs. 3 E-Privacy-Richtlinie 2002/58/EG nach der Änderung von 2009); für sonstige personenbezogene Daten wird dies mit der europäischen Datenschutz-Grundverordnung geregelt werden.
Im Bereich der Informationssicherheit sind die positiven Effekte grenzüberschreitender Kooperationen bereits anerkannt. In Planspielen wird seit Jahren eingeübt, wie die Zusammenarbeit am besten funktioniert. Beispielsweise wurde Ende 2014 von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) die große Cybersicherheitsübung „Cyber Europe 2014“ durchgeführt, an der mehr als 200 Organisationen und 400 Cybersicherheitsexperten aus 29 europäischen Ländern an einem Tag ein realitätsnahes Szenario simulierten. Initiiert vom Joint Research Centre im italienischen Ispra soll eine erste Kooperationsübung zu Datenschutzvorfällen im September 2015 erfolgen, allerdings in kleinerem Ausmaß – mit sieben Datenschutzbehörden.
Zur Vorbereitung fanden im Jahr 2014 mehrere Workshops statt, an denen das ULD gemeinsam mit den Datenschutzbehörden aus Frankreich, Griechenland, Irland, Italien, Polen und Spanien mögliche Szenarien erarbeitete. Es macht einen Unterschied, ob die Übung mit einer Meldung an eine Aufsichtsbehörde startet oder ob auf anderem Weg ein mutmaßlicher Datenschutzvorfall bekannt wird. Bei im Internet veröffentlichten Daten ist nicht immer unmittelbar klar, welche Stellen für den Vorfall verantwortlich sind, was die Klärung von Zuständigkeiten erschwert. Auch Probleme im Workflow werden zu lösen sein, z. B. die schnelle Erreichbarkeit der zuständigen Beschäftigten in den jeweiligen Aufsichtsbehörden auf einem sicheren Weg. Sprachbarrieren müssen überbrückt werden, ohne dass sich Ungenauigkeiten einschleichen, z. B. beim Übersetzen der Korrespondenz mit der Stelle, die ihrer Benachrichtigungspflicht nachgekommen ist. Zudem wird das Zusammenspiel mit Medienvertretern oder Strafverfolgungsbehörden rechtlich und kulturell unterschiedlich in den EU-Mitgliedstaaten gehandhabt.
Die Simulation im September 2015 soll einen Tag lang dauern, an dem im Zeitraffer die Ereignisse von etwa zwölf Tagen komprimiert werden. Das ULD wird sich beteiligen und die in der Übung gewonnenen Erfahrungen kommunizieren. Wichtig ist, dass alles dafür getan wird, um den möglichen Schaden für die Betroffenen zu minimieren – durch zeitnahe, akkurate Warnungen sowie Hilfestellungen, die darüber Auskunft geben, was jede und jeder tun kann, um sich zu schützen.
Was ist zu tun?
Um eine verbesserte grenzüberschreitende Kooperation bei Datenschutzvorfällen unter den Aufsichtsbehörden zu etablieren, sollten geeignete Verfahren definiert und eingeübt werden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |