Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden. In unserem heutigen Beitrag betrachten wir die Auswirkungen der Datenschutz-Grundverordnung auf die Datenverarbeitung im Internet.
Bereits seit Jahren kritisieren nicht nur die großen Diensteanbieter wie Google und Facebook die vermeintlich unüberschaubare Rechtslage in Europa, wenn es um die Datenverarbeitung im Internet geht. Auch europäische Unternehmen fordern immer wieder klare und europaweit einheitliche Regelungen. Und tatsächlich muss die Frage gestellt werden: Ist es noch vermittelbar, wenn z.B. der Betrieb eines europaweit angelegten Online-Shops 28 Rechtsgutachten notwendig macht – also ein Gutachten pro Mitgliedsstaat? Sind nicht vielmehr einheitliche Regelungen erforderlich, die u.a. die Fragen beantworten, unter welchen datenschutzrechtlichen Rahmenbedingungen Social Media Dienste angeboten, Display-Netzwerke genutzt und Tracking-Möglichkeiten ausgeschöpft werden können? An dieser Stelle kommt nun die Datenschutz-Grundverordnung ins Spiel – und mit ihr die erste Ernüchterung. Denn um es einmal ganz ehrlich auszusprechen: So ganz klar ist noch nicht, was da kommt!
Erste Unklarheit – welches Recht gilt und was wird aus dem TMG?
Websitebetreiber finden im deutschen Telemediengesetz (TMG) bislang die zentralen bereichsspezifischen Vorschriften, welche die Spielregeln der Datenverarbeitung im Internet in Deutschland vorgeben. Die Auswirkungen der europäischen Grundverordnung auf das deutsche TMG sind daher von entscheidender Bedeutung. Eins scheint soweit klar zu sein: Eine europäische Verordnung geht deutschem Recht vor. Das bedeutet also auch, dass die Datenschutz-Grundverordnung dem TMG vorgehen wird. Viele Juristen scheinen daher die Ansicht zu vertreten, dass die bereichsspezifischen Vorschriften des deutschen TMG sogar vollständig verdrängt und allein durch allgemeine Vorschriften der Datenschutz-Grundverordnung ersetzt werden. Eine Besonderheit wird dabei jedoch nur selten erwähnt: Neben dem deutschen TMG existieren derzeit europäische Richtlinien, die die Datenverarbeitung im Internet bereichsspezifisch regeln. Erwähnenswert sind in diesem Zusammenhang insbesondere die sog. ePrivacy Richtline (2002/58/EG) und deren als Cookie-Richtlinie bekannt gewordene Änderungsvorschrift (2009/136/EG). Das Zusammenspiel zwischen europäischen Verordnungen und europäischen Richtlinien ist indes eine hochumstrittene und komplexe Materie. Ohne die verschiedenen Meinungen darzustellen, spricht vieles dafür, dass die genannten Richtlinien grundsätzlich fortgelten, sofern sie nicht durch die Datenschutz-Grundverordnung ausdrücklich aufgehoben werden (so etwa Art. 95 DSGVO in Bezug auf die bisherige Datenschutzrichtlinie 95/46/EG) oder mit dieser kollidieren.
Vor dem Hintergrund der fortgeltenden Richtlinien muss insbesondere eine Entwicklung in den Blick genommen werden: Die EU-Kommission hat Mitte 2015 einen Bericht veröffentlicht, der ebenfalls das Zusammenspiel der ePrivacy Richtlinie und der Datenschutz-Grundverordnung zum Gegenstand hat. In diesem Bericht werden auf europäischer Ebene nicht nur Vorschläge gemacht, die ePrivacy Richtlinie künftig dahingehend zu ändern, bestimmte Trackingtechnologien zu privilegieren und diese auch ohne Einwilligung des Nutzers zuzulassen (z.B. First-Party-Cookies zur eigenen Websiteanalyse). Es steht sogar die Option im Raum, aus der e-Privacy Richtlinie eine Verordnung zu machen, um das Zusammenspiel der ePrivacy Richtlinie und der Datenschutz-Grundverordnung zu vereinfachen („… the relationship between the provisions of the two legislative instruments would be considerably less complex if they are at the same level“).
Insbesondere im Hinblick auf die gängigen Trackingtechnologien werden die künftigen Regelungen möglicherweise gerade erst geschrieben. Ein konkreter Änderungsvorschlag der EU-Kommission im Hinblick auf die ePrivacy Richtlinie wird allerdings erst für 2017 erwartet und muss dann noch verhandelt werden.
Vermutlich werden dann auch erst die konkreten Fragen geklärt, auf die die Datenschutz-Grundverordnung bislang keine Antworten gibt, u.a.:
- Unter welchen Rahmenbedingungen dürfen Tracking-Technologien im Internet angewendet werden?
- Reicht es aus, Nutzer über die Datenverarbeitung per Cookie-Banner aufmerksam zu machen und das Weiternutzen der jeweiligen Website als konkludente Einwilligung zu bewerten? Oder ist eine ausdrücklichere Form der Einwilligung nötig?
- Wird es in Zukunft weiterhin Trackingmöglichkeiten geben, die zwar nicht anonym, aber doch ohne Einwilligung möglich sind. Um es konkret zu fragen: Was wird aus § 15 Abs. 3 TMG?
- …
Die ungefähre Richtung lässt sich gleichwohl anhand der bisherigen Erwägungsgründe und der Regelungen der Datenschutz-Grundverordnung abschätzen.
Zweite Unklarheit – wie funktioniert Datenportabilität in der Praxis?
Die Datenschutz-Grundverordnung regelt in Art. 1 einen völlig neuen Grundsatz, welchen das deutsche Datenschutzrecht bisher so nicht kannte: Den freien Verkehr personenbezogener Daten. Dazu passend findet sich in Art. 20 das Recht auf Datenübertragbarkeit (auch Datenportabilität genannt). Dieses Recht soll der betroffenen Person in vielen Fällen ermöglichen, mit ihren Daten „umzuziehen“ – etwa von Linkedin zu Xing und umgekehrt. Welche Schnittstellen und Datenformate die jeweiligen Diensteanbieter hierfür bereitstellen sollen, bleibt völlig offen. Unklar ist auch, wie kompatibel die jeweiligen Dienste, zwischen denen Daten übertragen werden sollen, sein müssen. So ist es zwar denkbar, seine Stammdaten von dem einen Online-Shop (etwa Amazon) zu einem anderen Online-Shop zu portieren. Wie ist es aber, wenn ein Nutzer von Facebook zu Google+ umziehen möchte?
So bietet Facebook seinen Nutzern etwa die Auswahl zwischen 60 Geschlechtern. Ist das bei Google+ auch so? Und kann ich meine „Freunde“ mitnehmen? Wie sieht es eigentlich mit meinen Beiträgen und Fotos aus? Um nur einige Fragen zu nennen. Die Antwort auf die erste Frage könnte übrigens „Ja“ lauten. Denn Google+ bietet neben der Auswahl „männlich“, „weiblich“ und „unbestimmt“ auch die Angabe eines benutzerdefinierten Geschlechts per Freitext an. Google+ wäre an dieser Stelle also kompatibel zu Facebook. Facebook allerdings nicht in jedem Fall zu Google+.
Es muss sich zeigen, wie die Praxis mit dieser Forderung der Datenschutz-Grundverordnung umgeht. Es ist möglich, dass das Recht auf Datenportabilität im Ergebnis nur für einen geringen Stammdatensatz praktisch bedeutsam werden wird. Alles was darüber hinausgeht, würde Diensteanbieter vor erhebliche Aufgaben und Probleme stellen.
Dritte Unklarheit – Was bedeutet das Recht auf Vergessenwerden in der Praxis?
Wem es gerade schon zu Praxisfremd wurde, der sollte jetzt besser nicht weiterlesen. Denn die Datenschutz-Grundverordnung regelt in Art. 17 das Recht auf Vergessenwerden. Dies kannte man bisher im Ansatz schon aus einer Entscheidung des EuGH. Demnach wurden Google und Anbieter großer Suchmaschinendienste verpflichtet, auf Anforderung bestimmte Suchergebnisse zu löschen. Hintergrund der Entscheidung war die Veröffentlichung einer Zwangsversteigerung in einer spanischen Tageszeitung im Jahr 1998 mit Angabe des Namens des Grundstückseigentümers und Schuldners. Für den Betroffenen nicht schön, für das Zwangsversteigerungsverfahren in Spanien aber erforderlich. Unter normalen Umständen wäre nach ein paar Jahren über die Sache Gras gewachsen. Wuchs es aber nicht, weil die Tageszeitung ihre Ausgabe digitalisiert und frei verfügbar ins Internet stellte. Auch das wäre grundsätzlich kein Problem gewesen, denn kaum jemand hätte den damaligen Artikel in der spanischen Tageszeitung wahrgenommen. Bis Google dann allerdings den Artikel indexierte und ihn bei der Google-Suche nach dem Namen des Betroffenen auf den ersten Plätzen präsentierte. Anhand dieses Falles konstruierte der EuGH also eine Pflicht für Google (und nicht für die spanische Tageszeitung) das Suchergebnis zu unterdrücken. Betroffen war insofern tatsächlich nur der Suchmaschinenbetreiber und nicht der Hoster der Originalquelle (vgl. etwa diese Liste der Zeit, in der die Zeit die Links der bei Google unterdrückten Zeit-Artikel präsentiert). Ein Pulverfass zwischen Datenschutz einerseits und Meinungs-, sowie Informationsfreiheit andererseits.
Noch (viel) strenger kommt es nun in der die Datenschutz-Grundverordnung. Denn das dort geregelte Recht auf Vergessenwerden wendet sich nicht nur an Suchmaschinenbetreiber sondern auch an alle gewerblichen Websitebetreiber. Dabei geht es dann natürlich nicht mehr um die Löschung von Suchergebnissen, sondern um die Löschung der Datenquelle an sich. Aber es kommt noch schlimmer: Die Datenschutz-Grundverordnung regelt sogar, dass die Stelle, welche die Daten z.B. mit Einwilligung des Betroffenen völlig rechtmäßig veröffentlicht hat, diese bei Widerruf der Einwilligung nicht nur löschen muss. Sie regelt auch, dass darüber hinaus angemessene Maßnahmen getroffen werden müssen, um Dritte darüber zu informieren, dass Links, Kopien und Replikate der Datenquelle gelöscht werden müssen. Ein Arbeitgeber, der mit Einwilligung also z.B. den Namen und beruflichen Werdegang eines Mitarbeiters auf seiner Website veröffentlicht, müsste diese Daten bei Widerruf der Einwilligung nicht nur löschen. Vielmehr müsste er angemessene Maßnahmen treffen, um z.B. Suchmaschinenbetreiber und Webarchivanbieter darüber zu informieren, ihren Zwischenspeicher entsprechend zu leeren. Diese Informationspflicht des Websitebetreibers ist zwar noch kein Folgenbeseitigungsanspruch des Betroffenen. Die praktischen Aufwände sind jedoch noch gar nicht zu fassen. Möglicherweise wird man aber argumentieren können, dass eine wirksame Einwilligung des Betroffenen bei vernünftiger Aufklärung im Vorfeld („das Internet vergisst nicht“), dazu führt, dass neben der Löschung der Originalquelle kaum noch weitere Maßnahmen vom Websitebetreiber verlangt werden können.
Sofern eine Veröffentlichung von personenbezogenen Daten für die Ausübung des Rechts auf freie Meinungsäußerung und Information oder für im öffentlichen Interesse liegende Archivzwecke erforderlich ist, soll das Recht auf Vergessenwerden übrigens nicht gelten. Dennoch wird selbst die rechtmäßige Veröffentlichung personenbezogener Daten künftig riskanter.
Privilegierung von allgemein zugänglichen Daten bleibt ungeregelt
Bislang regelte im deutschen Recht § 28 Abs. 1 Nr. 3 BDSG eine Privilegierung für den Umgang mit allgemein zugänglichen personenbezogenen Daten. Insofern durfte im Grundsatz davon ausgegangen werden, dass allgemein zugängliche Daten nur dann nicht verarbeitet werden dürfen, wenn schutzwürdige Gegeninteressen des Betroffenen offensichtlich überwiegen. Es galt insoweit eine Art Erlaubnis mit Verbotsvorbehalt. Diese Privilegierung kennt die Datenschutz-Grundverordnung nicht. Lediglich in Art. 9 Abs. 2 lit. e DSGVO findet sich für besondere Kategorien personenbezogener Daten eine Ausnahme vom grundsätzlichen Verarbeitungsverbot. Was bedeutet das nun? Vermutlich werden allgemein zugängliche Daten nach Art. 6 Abs. 1 lit. f DSGVO auch weiterhin häufig verarbeitet werden dürfen – etwa im Rahmen eines Social Media Monitorings. So ganz klar wie vorher, ist dies allerdings nicht.
Verarbeitung der Daten von Kindern (und Erwachsener)
Noch restriktiver regelt die Datenschutz-Grundverordnung den Umgang mit Daten von Kindern. Hier gelten zahlreiche Besonderheiten, die wir bereits in einem unserer vorherigen Artikel angesprochen haben. So regelt die Datenschutz-Grundverordnung z.B., dass Kinder (Alter bis zu 13 bzw. bis zu 16 Jahre) bei Diensten im Internet, nur dann eine datenschutzrechtliche Einwilligung wirksam abgeben können, wenn die Sorgeberechtigten zustimmen. Diensteanbieter müssen insoweit nicht nur angemessene Maßnahmen treffen, um zu überprüfen, ob eine solche Zustimmung wirklich vorliegt und von den tatsächlich sorgeberechtigten Personen erteilt wurde. Diensteanbieter müssen im Umkehrschluss auch prüfen, ob eine Person, die angibt, über 16 Jahre alt zu sein auch wirklich über 16 Jahre alt ist. Welche bürokratischen Maßnahmen dies künftig nicht nur bei einer Einwilligung von Kindern (Verifikation des Sorgerechts, der Sorgeberechtigten, der Zustimmung), sondern auch bei einer Einwilligung Erwachsener (Verifikation des Alters) mit sich bringt, ist völlig unklar. Bestenfalls werden auch hier die als angemessen anzusehenden Maßnahmen nur sehr schwach ausfallen. Schlimmstenfalls wird auf diesem Weg ein Klarnamenzwang durch die Hintertür eingeführt oder die eID-Funktion des neuen Personalausweises erlebt eine ungeahnte Renaissance.
Spannend wird in diesem Zusammenhang übrigens auch das Zusammenspiel mit Art. 11 der DSGVO. Was regelt dieser Artikel vereinfacht gesagt? Wenn ein Dienst auch mit einem Pseudonym genutzt werden kann, sollen alle Vorschriften der Datenschutz-Grundverordnung zurücktreten, die eine Identifizierung des Nutzers durch den Diensteanbieters nötig machen.
Informationspflichten
Die DSGVO enthält eine Reihe allgemeiner Informationspflichten (wir haben bereits hier darüber berichtet). Für die weiterhin erforderliche Datenschutzerklärung der Website dürfte insbesondere Art. 13 DSGVO relevant werden, der zahlreiche Punkte nennt, über die der Betroffene bei der ersten Erhebung von personenbezogenen Daten zu unterrichten ist. Daneben ist über ein ggf. bestehendes Widerspruchrecht nach Art. 21 Abs. 4 DSGVO zu informieren. Ein Problem, welches sich hier stellt: Der Hinweis auf ein solches Widerspruchsrecht hat nach Art. 21 Abs. 4 DSGVO grundsätzlich in einer von anderen Informationen getrennten Form zu erfolgen. Was das für die Gestaltung der Datenschutzerklärung bedeutet ist – wieder einmal – unklar. Reicht eine textliche Hervorhebung aus?
Fazit
Kaum ein Bereich der neuen Datenschutz-Grundverordnung bleibt unklarer geregelt als die Datenverarbeitung im Internet. Dies liegt zum einen daran, dass damit zu rechnen ist, dass durch die Novellierung der ePrivacy Richtlinie bereichsspezifische Vorschriften erst noch erstellt werden bzw. konkretisiert werden müssen. Zum anderen stellt sich bei vielen Vorschriften aber auch einfach die Frage, ob und ggf. wie diese in der Praxis umgesetzt werden können.
Weitere Beiträge zur DSGVO in unserem Blog.