Das 4. Quartal 2015 dürfte später einmal zu den Höhepunkten in der Chronik des Datenschutzes gerechnet werden. Zum einen erklärte der EuGH die Safe Harbor-Regelung für unzulässig, zum anderen kam die EU bei der EU-Datenschutz-Grundverordnung unverhofft zu einer Einigung.
Der Inhalt im Überblick
Oktober
Was viele bei der Lektüre des europäischen Generalanwalt Yves Bots bereits ahnten, hat sich dann auch bewahrheitet: Der Europäische Gerichtshof (EuGH) hat in seinem wegweisenden Urteil vom 06.10.2016 entschieden: Die Safe Harbor-Regelungen, die bislang die Rechtsgrundlage für den Datentransfer zwischen der EU und amerikanischen Firmen war, wurden vom EuGH für unzulässig erklärt.
Das Safe Harbor-Urteil des EuGH und seine möglichen Folgen war im letzten Quartal wohl „das“ Thema, das die Gemüter erhitzte.
Das ULD Schleswig-Holstein schlägt einen scharfen Kurs ein und verbietet deutschen Unternehmen ab sofort, personenbezogene Daten von US-Dienstleistern verarbeiten zu lassen oder in die USA zu übermitteln. Wer es dennoch tut, muss mit Bußgeldern in Höhe bis zu 300.000 € rechnen.
Der Hamburger Datenschutzbeauftragte kündigte an, alle in Hamburg ansässigen Tochterunternehmen von Safe-Harbor gelisteten US-Firmen zu überprüfen.
Ein wenig Ruhe brachte das Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder. Vorübergehend sollen EU-Standardvertragsklauseln ein angemessenes Datenschutzniveau und Corporate Binding Rules für den Datentransfer in die USA sicherstellen.
Aber die Schonfrist reicht zunächst nur bis Ende Januar 2016. Bis dahin sind Anpassungen an das Urteil des EuGH fällig. Geplant ist ein Safe Harbor Nachfolgeabkommen. Ist das Abkommen bis zum 31.1.2016 nicht abgeschlossen, dürfte es eine Verlängerung der Schonfrist geben.
Die Kommission steht nunmehr in der Pflicht, Verhandlungen mit den USA aufzunehmen, um den transatlantischen Datenaustausch auf eine sichere Rechtsgrundlage zu stellen. Es wird spannend, inwieweit die Amerikaner bereit sind, ihre Rechtsordnung an das europäische Datenschutzniveau anzupassen.
Derweil gehen US-Firmen pragmatisch mit der derzeitigen Rechtsunsicherheit um. Die deutsche Cloud von Microsoft für die Produkte für Azure, Office 365 und Microsoft Dynamics ist aus Sicht des Datenschutzes ein erfreulicher Lösungsansatz. Die „Deutsche Cloud“ wird von einem unabhängigen deutschen Datentreuhänder (dabei handelt es sich vermutlich um die Telekom-Tochter T-systems) unter deutschem Datenschutzrecht betrieben.
Die Einwilligung, die Google von den Nutzern abverlangt, ist als Reaktion auf die Safe Harbor-Entscheidung hingegen eher kritisch anzusehen. Sie ist intransparent und wenig verständlich.
November
Datenschutz goes to Hollywood. Nun ja, fast. Denn im November fand die Hamburg-Premiere von „Democracy – im Rausch der Daten“ statt. Der Dokumentarfilm rund um dem Berichterstatter und Europaabgeordneten Jan Philip Albrecht, dessen Hartnäckigkeit letztlich die EU-Grundverordnung vor dem Scheitern bewahrte, zeigt eindringlich, dass die EU-Datenschutz-Grundverordnung nicht vom Himmel gefallen ist, sondern das Ergebnis eines zähen Ringens um Selbstbestimmung und Privatsphäre im Internetzeitalter. In der Rolle des Bösewichts: Neben Google, Facebook & Co. auch – wer hätte das gedacht – auch die deutsche Bundesregierung.
Aber nichts für Ungut. Die deutschen Datenschutzbehörden tun ihr Bestes. So prüfte das Bayerische Landesamt für Datenschutzaufsicht Unternehmen in dessen Zuständigkeitsbereich dahingehend, ob deren Webseiten, auf denen Kontaktformulare verwendet werden, anerkannte Verschlüsselungsverfahren implementiert haben.
Für eine effektivere Durchsetzung des Datenschutzes als die Aufsichtsbehörden werden künftig hoffentlich die Verbraucherverbände sorgen. Nach dem Entwurf des „Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ sollen Verbraucherverbände Unternehmen abmahnen und verklagen dürfen. Dies tut umso mehr Not vor dem Hintergrund der Äußerung des Hamburger Datenschutzbeauftragten Johannes Caspar, der öffentlich eingestand, dass aufgrund der Ausstattungssituation der Hamburger Datenschutzbehörde der Datenschutzbeauftragte praktisch handlungsunfähig sei.
Das Thema Verschlüsselung der E-Mail-Kommunikation treibt die Telekom um. Gemeinsam mit dem Fraunhofer Institut möchte sie den Ende-zu-Ende verschlüsselten E-Mail-Verkehr für die breite Masse anbieten. Ob daraus tatsächlich wie etwas vollmundig angepriesen ein „Volksverschlüsselung“ wird, bleibt indes abzuwarten.
Dezember
Dass die EU eine neue Richtlinie zur IT-Sicherheit verabschiedet hat, ist zu begrüßen. Unverständlich ist hingegen, dass Deutschland quasi im vorauseilenden Gehorsam bereits im Juli ein IT-Sicherheitsgesetz mit ähnlichen Regelungen wie die IT-Sicherheitsrichtlinie verabschiedet hatte. Nun muss im Zuge der Umsetzung der EU-Richtlinie am deutschen Regelwerk an der einen oder anderen Stelle nachgebessert werden.
Es wird in der Tat Zeit, dass die EU-Grundverordnung verabschiedet wird. Überall im Internet lauern sie, die Datensauger. Sie warten nur darauf, dass Apparate an das Internet angeschlossen werden, die personenbezogene Daten übermitteln. Internetfähige Fernseher (Smart TV’s) sorgen für reichlich Datennachschub. Dies geschieht häufig ohne Kenntnis und ohne Einwilligung der Betroffenen. Der Düsseldorfer Kreis reagiert mit einer Orientierungshilfe. Ob das wohl ausreicht?
Und dann geschehen in der Vorweihnachtszeit doch manchmal Zeichen und Wunder. Pünktlich zum Frohen Fest liegt sie auf dem Gabentisch: Die EU-Datenschutz-Grundverordnung. Nach fast vierjähriger Debatte haben sich Europäischer Rat, Europäisches Parlament und Europäische Kommission über den endgültigen Inhalt der neuen EU-Datenschutz-Grundverordnung geeinigt. In Kraft treten soll die neue Verordnung Anfang 2018. Chapeau!
Guten Rutsch!
Mit diesen Meldungen sagen wir „Tschüss“ und wünschen einen guten Rutsch ins neue Jahr! Wir freuen uns, wenn Sie uns auch 2016 treu bleiben.
