[datensicherheit.de, 12.04.2024] Die Noerr Partnerschaftsgesellschaft mbB – Rechtsanwälte Steuerberater Wirtschaftsprüfer – hat am 11. April 2024 gemeldet, dass Unternehmen auch für Datenschutzverstöße durch weisungswidriges Verhalten ihrer Mitarbeiter haften: Der Europäische Gerichtshof (EuGH) hat demnach am selben Tag entschieden, „dass ein Unternehmen grundsätzlich für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haftet, wenn der Verstoß durch ein weisungswidriges Verhalten von Beschäftigten verursacht wurde“. Für eine mögliche Schuldbefreiung („Exkulpation“) des Unternehmens reiche es nicht aus, dass das Unternehmen nachweist, dass es seine Beschäftigten zu datenschutzkonformem Verhalten angewiesen hat. Vielmehr müsse sich das Unternehmen auch vergewissern, dass seine Weisungen von den Beschäftigten auch korrekt ausgeführt werden.

Unternehmen benötigen robuste Datenschutz-Governance

„Für Unternehmen bedeutet dies, dass sie eine datenschutzrechtliche Haftung nicht allein durch interne Richtlinien und andere Weisungen vermeiden können“, kommentiert Sebastian Dienst, „Associated Partner“ der Kanzlei Noerr.

Diese müssten somit weitere organisatorische und ggf. sogar technische Maßnahmen (TOM) ergreifen, um die Einhaltung ihrer Anweisungen auch tatsächlich sicherzustellen. Noerr erläutert: „Dies erfordert eine robuste Datenschutz-Governance, also eine wirksame Aufbau- und Ablauforganisation zur Umsetzung der datenrechtlichen Vorgaben mit klar definierten Verantwortlichkeiten und praktikablen Prozessen.“

Unternehmen sollten Datenschutz-Richtlinien durch Schulungen und Sensibilisierungsmaßnahmen verständlich vermitteln

Dr. Lea Stegemann, „Senior Associate“ der Kanzlei Noerr, berichtet: „Unserer Erfahrung nach haben viele Unternehmen bereits interne Richtlinien zum Datenschutz formuliert. Häufig sind diese Richtlinien jedoch eher realitätsfern und für Beschäftigte teilweise schwer verständlich.“

Umso wichtiger sei es in der Praxis, „die Inhalte solcher Richtlinien durch regelmäßige Schulungen und andere Sensibilisierungsmaßnahmen verständlich zu vermitteln und die Einhaltung der Datenschutzvorgaben auch tatsächlich zu kontrollieren“, so Dr. Stegemann abschließend.

Weitere Informationen zum Thema:

InfoCuria Rechtsprechung
URTEIL DES GERICHTSHOFS (Dritte Kammer) / 11. April 2024 / In der Rechtssache C-741/21

[datensicherheit.de, 11.04.2024] Laut einer aktuellen Meldung vom eco – Verband der Internetwirtschaft e.V. ist eine Einigung hinsichtlich des sogenannten Quick-Freeze-Verfahrens möglich – der Verband unterstreicht indes nochmals seine Forderung nach konsequenter Aufhebung der Vorratsdatenspeicherung.

Foto: eco

Oliver Süme: Die aktuellen Entwicklungen hinsichtlich des Quick-Freeze-Verfahrens sind ein Schritt in die richtige Richtung…

Quick-Freeze-Verfahren könnte neue Standards in der Verbrechensbekämpfung setzen

Die „Ampel“-Parteien hätten laut eigenem Bekunden einen Kompromiss zu Ermittlungsmaßnahmen im Internet erzielt. Nachdem die Politik Bürger und Unternehmen mehr als ein Jahrzehnt seit Einführung der rechtswidrigen Vorratsdatenspeicherung habe warten lassen, könnte das Quick-Freeze-Verfahren nun endlich einen bürgerrechtskonformen Rechtsrahmen setzen.

Die Vereinbarung markiere einen Wendepunkt für die Arbeit von Ermittlungsbehörden und könnte neue Standards in der Verbrechensbekämpfung setzen. Der eco fordert in diesem Zusammenhang aber auch die konsequente Aufhebung der Vorratsdatenspeicherung, gegen die sich der Verband stets ausgesprochen hat.

Bekenntnis zum Quick-Freeze-Verfahren und Absage an Vorratsdatenspeicherung gefordert

„Die aktuellen Entwicklungen hinsichtlich des Quick-Freeze-Verfahrens sind ein Schritt in die richtige Richtung, doch es ist bedauerlich, dass die Bundesregierung nicht konsequent die Aufhebung der Vorratsdatenspeicherung anstrebt, wie von uns immer gefordert“, kommentiert Oliver Süme, der eco-Vorstandsvorsitzende. Er warnt: „Wenn die grundrechtswidrige Vorratsdatenspeicherung weiter bestehen soll oder unter einem neuen Namen fortgesetzt wird, wäre dies fatal.“

Laut Süme ist es an der Zeit, dass die Regierung ihre Verantwortung wahrnimmt und Bürgerrechte im digitalen Raum ernsthaft schützt: „Wir fordern eine klare und umfassende Aufhebung der Vorratsdatenspeicherung, um die Privatsphäre der Bürger/innen zu gewährleisten. Es ist unerlässlich, dass betroffene Unternehmen rasch Klarheit über die geplanten Neuregelungen und die Speicherung von Daten erhalten, um Rechtsunsicherheit zu vermeiden.“

Quick-Freeze-Verfahren als rechtssicheres und effektives Instrument für Strafermittler

Das Quick-Freeze-Verfahren könnte nach Ansicht des Verbands ein Instrument für Strafermittler sein, „das rechtssicher und effektiv ist“. Im Gegensatz zur Vorratsdatenspeicherung biete es eine Lösung, welche den Spielraum des Europäischen Gerichtshofs nutze, aber gleichzeitig die Privatsphäre der Bürger berücksichtige.

Der Koalitionsvertrag strebe eine zielgerichtete, anlassbezogene Strafverfolgung im Netz an – ein Konzept, das dem Quick-Freeze-Ansatz entspreche. „Ob und wie dieser Ansatz von der Bundesregierung gesetzlich verfolgt wird, bleibt abzuwarten, insbesondere hinsichtlich der konkreten Ausgestaltung des Quick-Freeze-Verfahrens.“ Von jeglichen Überlegungen zu „Mindestspeicherfristen“ sollte sich die Bundesregierung aus Sicht der Internetwirtschaft dringend distanzieren.

Hintergrund zur Abwägung Quick-Freeze-Ansatz vs. Vorratsdatenspeicherung

Bereits im September 2023 habe das Bundesverwaltungsgericht in Leipzig die gesetzliche Verpflichtung der Telekommunikationsanbieter zur Vorratsdatenspeicherung von Telekommunikationsverkehrsdaten als „unionsrechtswidrig“ erklärt.

„Nachdem der Europäische Gerichtshof mit seinem lang ersehnten Urteil vom 22. September 2022 bereits entschieden hatte, dass die deutschen Regelungen zur Vorratsdatenspeicherung nicht mit dem Unionsrecht vereinbar sind, fand der jahrelange Rechtsstreit um die Vorratsdatenspeicherung damit endlich ein Ende.“ Der eco setze sich seit Jahren gegen die Vorratsdatenspeicherung ein und habe die 2016 beim Verwaltungsgericht Köln eingereichte Klage der SpaceNet AG von Anfang an unterstützt.

Weitere Informationen zum Thema:

datensicherheit.de, 10.09.2023
Bundesverwaltungsgericht: Anlasslose und flächendeckende Vorratsdatenspeicherung vollständig europarechtswidrig / eco-Verband fordert Bundesregierung zur endgültigen Aufhebung der Vorratsdatenspeicherung auf

datensicherheit.de, 30.03.2023
Vorratsdatenspeicherung: Bundesverfassungsgericht bestätigt Unzulässigkeit / Deutsches Gesetz zur Vorratsdatenspeicherung unanwendbar und mit EU-Recht unvereinbar

datensicherheit.de, 26.110.2022
Statt Vorratsdatenspeicherung: Bundesjustizminister macht Quick-Freeze-Vorschlag – eco-Vorstandsvorsitzender kommentiert / Der eco hat stets die vom EuGH kürzlich als europarechtswidrig eingestufte Vorratsdatenspeicherung kritisiert

datensicherheit.de, 20.09.2022
Vorratsdatenspeicherung: BfDI begrüßt EuGH-Urteil / EuGH sieht Gefahr der Erstellung persönlicher Netzwerke und Profile einzelner Personen

datensicherheit.de, 20.09.2022
EuGH: Absage zur Vorratsdatenspeicherung in Deutschland historisch / Mit EuGH-Entscheidung vom 20. September 2022 den Menschen ein Stück Sicherheit und Privatsphäre zurückgegeben

[datensicherheit.de, 07.12.2023] Die Verbraucherzentrale NRW hat gleich am 7. Dezember 2023 Stellung zum aktuellen Urteil des Europäischen Gerichtshofes (EuGH) zum Schufa-Scoring genommen – demnach stärkt dieses die Verbraucherrechte.

Schufa muss darlegen, wie die Werte des Bonitätsscorings zustandekommen

Die SCHUFA Holding AG (Schufa) müsse Verbraucher von nun an Auskunft darüber geben, „wie die Werte des Bonitätsscorings (Schufa-Score) zustandekommen“. Der EuGH hat am 7. Dezember 2023 in einem Verfahren gegen die Auskunftei entschieden, „dass es sich um eine automatisierte Entscheidung handelt, wenn ein Vertragsabschluss maßgeblich vom Schufa-Score abhängt“.

Dies habe zur Folge, dass Verbraucher nun mehr Transparenz von der Schufa verlangen könnten und das Recht hätten, zu erfahren, „wie der Wert ihres Schufa-Scores zustandekommt“.

Schufa hatte bisher nähere Erläuterung der Berechnung abgelehnt

Hintergrund des Verfahrens war laut der Verbraucherzentrale NRW, dass die Schufa eine nähere Erläuterung der Berechnung unter Berufung auf das Geschäftsgeheimnis ablehnte und auf die Anbieter verwies, da diese letztlich entscheiden würden, ob und zu welchen Konditionen ein Vertrag zustande komme. „Wie der Score konkret berechnet wird, war für die Betroffenen bisher kaum nachvollziehbar.“

„Diesem Ping-Pong bei dem Wunsch nach Auskunft setzt der EuGH nun ein Ende und sorgt für mehr Transparenz beim Bonitätsscoring“, betont Wolfgang Schuldzinski, Vorstand Verbraucherzentrale NRW. Verbraucher müssten verständliche Informationen erhalten, wie ihre Score-Werte zustande kommen. Jetzt komme es darauf an, dass das Schutzniveau der Datenschutzgrundverordnung (DSGVO) bei solchen automatisierten Entscheidungen nicht durch nationale Gesetze wieder abgesenkt werde.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2023
Nur ein erster Schritt: Löschung von Positivdaten bei der SCHUFA

[datensicherheit.de, 10.09.2023] Der Europäische Gerichtshof (EuGH) hatte bereits in seinem Urteil im September 2022 die deutschen Regelungen zur sogenannten Vorratsdatenspeicherung für unionsrechtswidrig erklärt – nun hat auch das Bundesverwaltungsgericht in Leipzig seine Entscheidung getroffen. Der eco-Vorstandsvorsitzende, Oliver Süme, appelliert anlässlich des Urteils an die Bundesregierung, dass diese jetzt endlich die Chance für eine politische Weichenstellung ergreifen und die Aufhebung der Vorratsdatenspeicherung in die Wege leiten sollte.

Foto: eco

Oliver Süme: Bundesregierung sollte jetzt endlich die Chance für eine politische Weichenstellung ergreifen!

Gesetzliche Verpflichtung der Telekommunikationsanbieter zur Vorratsdatenspeicherung rechtswidrig

Die gesetzliche Verpflichtung der Telekommunikationsanbieter zur Vorratsdatenspeicherung von Telekommunikations-Verkehrsdaten wurde durch das Urteil des EuGH als nicht mit dem Unionsrecht vereinbar befunden – nachdem nun auch das Bundesverwaltungsgericht seine Entscheidung getroffen hat, kommentiert der eco die Lage:

„Damit hat der jahrelange Rechtsstreit um die Vorratsdatenspeicherung endlich ein Ende gefunden.“ Seit Jahren setze sich der eco gegen die Vorratsdatenspeicherung ein und hat nach eigenen Angaben die von der SpaceNet AG 2016 beim Verwaltungsgericht Köln eingereichte Klage von Beginn an unterstützt.

Vorratsdatenspeicherung wäre massiver Eingriff in die Privatsphäre der Bürger

Süme erläutert die eco-Position: „Seit der Urteilsverkündung des Europäischen Gerichtshofs ist mittlerweile wieder fast ein weiteres Jahr vergangen. Nun hat auch das Bundesverwaltungsgericht in Leipzig entschieden. Immer wieder haben wir diesen massiven Eingriff in die Privatsphäre der Bürgerinnen und Bürger kritisiert, den die Vorratsdatenspeicherung mit sich bringt, obwohl ein Mehrwert für die Strafverfolgung nie belegt werden konnte.“

Die Bundesregierung sollte jetzt endlich die Chance für eine politische Weichenstellung ergreifen und die Aufhebung der Vorratsdatenspeicherung in die Wege leiten, fordert der eco-Vorstandsvorsitzende.

Weitere Informationen zum Thema:

tagesschau, 07.09.2023
Bundesverwaltungsgericht Anlasslose Vorratsdatenspeicherung ist rechtswidrig

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Vorratsdatenspeicherung

[datensicherheit.de, 04.07.2023] Laut einer aktuellen Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hat der Gerichtshof der Europäischen Union (EuGH) am 4. Juli 2023 sein Urteil zur sogenannten Meta-Entscheidung des Bundeskartellamts verkündet. Der BfDI begrüßt nach eigenen Angaben dieses Urteil in seiner Bedeutung für den Datenschutz.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber gratuliert Bundeskartellamt zum Erfolg…

Meta-Entscheidung zeigt auch: Bundeskartellamt muss zuständige Datenschutzaufsichtsbehörden einbinden

„Es freut mich, dass der EuGH anerkennt, dass die Einhaltung von Datenschutzanforderungen wettbewerbsrelevant ist und Kartellbehörden erlaubt, zum Schutz des Wettbewerbs auch die Vereinbarkeit des Verhaltens von Unternehmen mit Datenschutzrecht zu prüfen“, so der BfDI. Professor Ulrich Kelber. Er gratuliert dem Bundeskartellamt zu diesem „Erfolg“.

Der EuGH habe auch klargestellt, dass vorrangig die unabhängigen Datenschutzaufsichtsbehörden Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) festzustellen hätten. „Daher muss das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden vor einer eigenen Entscheidung in datenschutzrechtlichen Fragen einbinden.“

Nicht nur bei Mata: Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen schützen

Kartell- und Datenschutzaufsichtsbehörden könnten datengetriebene Geschäftsmodelle nur erfolgreich regulieren, „wenn sie eng zusammenarbeiten“. Dies bestätigt laut der Professor Kelber „die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren“.

Gemeinsam mit seinen europäischen Kollegen werde sich der BfDI die Entscheidung in der „Task Force“ des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und „Best Practices“ für eine effiziente Zusammenarbeit festlegen, damit Bürger besser vor „rechtswidrigen und missbräuchlichen Datenverarbeitungen“ geschützt werden könnten. Die Erfahrungen der Zusammenarbeit in Deutschland seien dafür eine gute Grundlage.

Praxis von Meta gerügt, Daten zu detaillierten Nutzerprofilen zu verknüpfen

Hintergrund des Verfahrens sei die Praxis von Meta, die Daten seiner Nutzer nicht nur auf „facebook“ selbst, sondern auch bei seinen Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und zu detaillierten Nutzerprofilen zu verknüpfen. Aus Sicht des Bundeskartellamts missbrauche Meta damit seine marktbeherrschende Stellung.

„Da Meta seinen Sitz in Irland hat, ist nach dem sogenannten One-Stop-Shop Mechanismus der DSGVO die irische Datenschutzaufsichtsbehörde (DPC) federführend zuständig.“ In Deutschland sei der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HbmBfDI) für Meta zuständig.

[datensicherheit.de, 28.06.2023] Der Digitalcourage e.V. betont in einer aktuellen Stellungnahme: „Wir wollen Personalausweise ohne Fingerabdrücke!“ Der Verein ist nach eigenen Angaben der Auffassung, dass die Speicherpflicht für Fingerabdrücke bei Personalausweisen nicht vereinbar mit europäischen Grundrechten sei, und hat deshalb dagegen Klage eingereicht. Diese Klage liege vor dem Europäischen Gerichtshof (EuGH) in Luxemburg. Am 29. Juni 2023 wird das Gericht demnach die Schlussanträge der Generalanwältin veröffentlichen.

Das Urteil zu den Fingerabdrücke wird alle EU-Bürger betreffen

„Die Klage mit dem Aktenzeichen C-61/22 wird vor der Großen Kammer des EuGH verhandelt, die nur für besonders bedeutsame und komplexe Fragen zusammenkommt.“ Das Urteil in diesem Fall werde alle Bürger der EU betreffen. Ein Termin für die Urteilsverkündung sei bislang noch nicht bekannt gegeben worden.

Seit August 2021 verpflichtend, Fingerabdrücke beider Zeigefinger speichern zu lassen

Seit August 2021 gelte in Deutschland: „Wer einen neuen Personalausweis beantragt, muss verpflichtend die Fingerabdrücke beider Zeigefinger scannen und speichern lassen.“ Das Gesetz, welches diese Speicherpflicht in Deutschland regele, sei die Umsetzung einer EU-Verordnung. „Gegen diese Verordnung klagt Digitalcourage vor dem EuGH.“

Der EuGH wird entscheiden, ob Speicherpflicht für Fingerabdrücke gekippt wird

Der Kläger, Detlev Sieber, Geschäftsführer des Digitalcourage e.V., „hat im November 2021 einen Personalausweise ohne gespeicherte Fingerabdrücke beantragt“. Das Verwaltungsgericht Wiesbaden, an welches dieser Fall daraufhin übergeben worden sei, „ist unserer Argumentation gefolgt und hat uns mit unserer Klage direkt an den Europäischen Gerichtshof verwiesen“. Dort werde nun entschieden, ob die Speicherpflicht – mit Wirkung für alle EU-Staaten – gekippt wird.

Weitere Informationen zum Thema:

digitalcourage, 11.05.2022
#PersoOhneFinger / Unsere juristische Argumentation

digitalcourage, Julia Witte, 19.10.2022
#PersoOhneFinger / Fingerabdruckpflicht wird EuGH vorgelegt

digitalcourage
Perso ohne Finger! Seit August 2021 müssen wir zwangsweise Fingerabdrücke im Personalausweis speichern lassen. Digitalcourage findet das übergriffig und undemokratisch – und hat dagegen Klage eingereicht.

datensicherheit.de, 08.03.2023
Fingerabdrücke im Personalausweis: Mündliche Anhörung vor dem EuGH zur Speicherpflicht / Speicherpflicht für Fingerabdrücke bei Personalausweisen nicht vereinbar mit europäischen Grundrechten

[datensicherheit.de, 13.04.2023] Der Branchenverband Bitkom meldet, dass mit dem neuen „Data Privacy Framework“ die EU-Kommission eine Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU in die USA schaffen möchte – nachdem das „Privacy Shield“ 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde. Im EU-Parlament gebe es deutliche Kritik an den neuen Plänen.

Bitkom-Warnung vor Gefährdung des Vertrauens in das neue Abkommen

„Das ,Data Privacy Framework’ hat die vom EuGH aufgeworfenen Kritikpunkte, die zum Wegfall des ,Privacy Shields’ geführt hatten, aufgelöst“, so Rebekka Weiß, Leiterin „Vertrauen und Sicherheit“ beim Bitkom und führt hierzu weiter aus: „Das ist möglich geworden, weil der US-Rechtsrahmen durch eine ,Executive Order’ des Präsidenten entsprechend angepasst wurde. Die aktuelle Diskussion im Europa-Parlament zeigt aber, wie festgefahren die Einstellungen hinsichtlich internationaler Datentransfers sind.“ Damit werde bereits jetzt das Vertrauen in das neue Abkommen gefährdet.

„Die EU-Kommission sollte sich daher in den kommenden Wochen intensiv mit den konkreten Kritikpunkten am ,Data Privacy Framework’ auseinandersetzen und im Detail darlegen, dass diese bereits durch die Neuregelung adressiert werden“, rät Weiß. Hierdurch könnten Bedenken ausgeräumt und hoffentlich einem weiteren Verfahren vor dem EuGH vorgebeugt werden. Die Unternehmen brauchten Rechtssicherheit, „damit die bestehende Datenblockade endlich aufgelöst werden kann“.

Bitkom-Studie: 60% der Unternehmen in Deutschland transferierten personenbezogene Daten in Länder außerhalb der EU

Ein Nachfolgeabkommen zum „Privacy Shield“ für Datentransfers zwischen der EU und den USA sei „dringend notwendig“. Die derzeit notwendigen Einzelfallprüfungen seien für die Wirtschaft eine „große Belastung“ – insbesondere für kleine und mittelständische Unternehmen (KMU). Der durch die „Executive Order“ aus dem vergangenen Jahr – 2022 – und dem vorliegenden Vorschlag für das „EU-US Data Privacy Framework“ gezeigte politische Willen müsse nun in eine belastbare rechtliche Regelung überführt werden, „die auch einer künftigen gerichtlichen Überprüfung standhält“.

Weiß betont: „Datentransfers sind essenzieller Bestandteil der gesamten Wirtschaft und auch der Wissenschaft. Die Be- oder sogar Verhinderung von Datentransfers ist für deutsche und europäische Unternehmen mindestens ebenso gravierend wie die Unterbrechung von Lieferketten.“ Nach einer aktuellen Bitkom-Studie transferierten sechs von zehn Unternehmen in Deutschland (60%) personenbezogene Daten in Länder außerhalb der EU. Gerade kleinere Unternehmen profitierten von der einfachen Nutzung der „Cloud“-Speicher und Software US-amerikanischer Anbieter, der Kommunikation in Sozialen Netzwerken und der Nutzung von Videokonferenz-Systemen internationaler Anbieter.

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2022
EU-US Privacy Shield: Nachfolgeabkommen soll laut eco Rechtssicherheit bringen / Der eco-Vorstandsvorsitzende warnt, dass die Zeit davonläuft

datensicherheit.de, 01.08.2020
Privacy Shield: Gemeinsame Stellungnahme deutscher Datenschützer / Stellungnahme zur Datenübermittlungen in Drittstaaten nach einschlägigem EuGH-Urteil

datensicherheit.de, 20.07.2020
Privacy Shield: Deutsche Wirtschaft holt Daten zurück / Das EuGH-Urteil zum Privacy Shield schickt den Mittelstand auf eine „Made in Germany“-Reise

[datensicherheit.de, 30.03.2023] Wie der Digitalcourage e.V. am Morgen des 30. März 2023 meldet, hat das Bundesverfassungsgericht (BVerfG) „mit einem soeben veröffentlichen Beschluss“ die Entscheidung des Europäischen Gerichtshofes (EuGH) vom 20. September 2022 bestätigt, nach der das deutsche Gesetz zur Vorratsdatenspeicherung „unanwendbar und mit EU-Recht unvereinbar ist“.

Gesetz zur Vorratsdatenspeicherung hat keine Rechtswirkung mehr

Die Verfassungsbeschwerde des Digitalcourage e.V. sei indes für „unzulässig“ erklärt worden – mit der Begründung, dass die angegriffene Regelung zur Vorratsdatenspeicherung nicht mehr anwendbar sei.

„Die für ungültig erklärte Norm hatte eine anlasslose Speicherung sämtlicher Verbindungsdaten von Anrufen, SMS und IP-Adressen samt Standortinformation vorgesehen. Und zwar nicht von Verdächtigen, sondern von der gesamten Bevölkerung.“

Diese Entscheidung des Bundesverfassungsgerichts unterstreiche nun noch einmal, „dass das Gesetz zur Vorratsdatenspeicherung keine Rechtswirkung mehr entfaltet und nicht mehr angewendet werden kann“.

Immer wieder mussten Gerichte die Vorratsdatenspeicherung kippen…

„Es ist traurig, dass immer wieder Gerichte die Vorratsdatenspeicherung kippen müssen, stattdessen muss das Parlament sich klar dagegen aussprechen“, kommentiert Digitalcourage-Gründungsvorstand padeluun. Denn anlasslose Speicherung von Verkehrsdaten sei keine rechtsstaatliche Ermittlungsmaßnahme, sondern – „egal, wie man es dreht oder wendet“ – eine Massenüberwachung der gesamten Bevölkerung.

Digitalcourage-Gründungsvorstand Rena Tangens betont: „Diese Überwachungsmaßnahme ist eine Gefahr für unsere Freiheit – sie hat keinen Platz in einer Demokratie. Das ist vom EuGH und nun auch vom Bundesverfassungsgericht festgestellt worden.“ Sie fordert daher: „Der Gesetzgeber muss diese Gesetzesleiche jetzt konsequenterweise auch endlich streichen.”

Konstantin Macher von Digitalcourage: „Mit seinem Urteil bestätigt und bekräftigt das Bundesverfassungsgericht die Rechtsprechung des Europäischen Gerichtshofs zur Vorratsdatenspeicherung und stellt klar: Es gibt keine Spielräume im deutschen Recht dafür, trotzdem eine anlasslose Vorratsdatenspeicherung umzusetzen.“ Macher unterstreicht: „Wir fordern von der Politik diesen Schlussstrich unter die Vorratsdatenspeicherung endlich zu akzeptieren!“

„Die ,Ampel’ hat im Koalitionsvertrag versprochen, eine rechtsstaatliche Regelung zum Thema Vorratsdatenspeicherung zu finden“, erinnert Julia Witte von Digitalcourage und stellt abschließend klar: „Das Bundesverfassungsgericht hat jetzt bestätigt: Das kann nur heißen die Vorratsdatenspeicherung zu streichen!“

Weitere Informationen zum Thema:

digitalcourage, Leena Simon & Nils Büschke & Julia Witte, 19.10.2022
Vorratsdatenspeicherung / Was steht eigentlich im EuGH-Urteil?

digitalcourage, Jakob Eichner, 06.10.2022
Chronik: Vorratsdatenspeicherung in Deutschland und der EU / Die Chronik informiert über die wichtigsten Gesetzesvorhaben, Klagen, Urteile und Stellungnahmen zur Vorratsdatenspeicherung von Telekommunikationsdaten.

digitalcourage, Lars Tebelmann, 13.04.2019
5-Minuten-Info: Vorratsdatenspeicherung / Das Wichtigste zur Vorratsdatenspeicherung gibt es in unserer 5-Minuten-Info

datensicherheit.de, 27.10.2022
Vorratsdatenspeicherung noch lange nicht vom Tisch, warnt Patrycja Schrenk nach EuGH-Urteil / Schrenk begrüßt Urteil und Vorschlag zu Quick Freeze

datensicherheit.de, 26.110.2022
Statt Vorratsdatenspeicherung: Bundesjustizminister macht Quick-Freeze-Vorschlag – eco-Vorstandsvorsitzender kommentiert / Der eco hat stets die vom EuGH kürzlich als europarechtswidrig eingestufte Vorratsdatenspeicherung kritisiert

datensicherheit.de, 20.09.2022
Vorratsdatenspeicherung: BfDI begrüßt EuGH-Urteil / EuGH sieht Gefahr der Erstellung persönlicher Netzwerke und Profile einzelner Personen

[datensicherheit.de, 29.11.2022] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die Lage des Datenschutzes in den USA ein. Mit der „Executive Order“ vom 7. Oktober 2022 habe der US-Präsident eine Antwort auf die „Schrems-II“-Entscheidung des Europäischen Gerichtshofs (EuGH) gegeben. Dieser Rechtsakt adressiere erkennbar die wesentlichen Kritikpunkte des Gerichts an der Rechtslage der USA. Ziel sei ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission. Transatlantische Datenübermittlungen würden damit sehr viel einfacher möglich als bislang. In den kommenden Monaten sei mit einem Entwurf der Kommissionsentscheidung zu rechnen. Vor dessen Finalisierung werde der Europäische Datenschutzausschuss eine in die Bewertung einfließende Stellungnahme abgeben.

Die aktuellen Auswirkungen der Executive Order

„Zum aktuellen Zeitpunkt hat sich an der Rechtslage in den USA noch nichts Entscheidendes geändert“, stellt der HmbBfDI fest. Die „Executive Order“ sehe eine Übergangsfrist von bis zu einem Jahr vor – so lange hätten die achtzehn Geheimdienste der USA Zeit, die im Rechtsakt vorgesehenen Garantien in die praktische Arbeit zu integrieren. Nach Informationen des HmbBfDI würden zahlreiche dieser Dienste für die Umsetzung noch mehrere Monate brauchen: „Dies betrifft insbesondere die neue Anforderung, Datenzugriffe auf das verhältnismäßige Maß einzugrenzen. Solange die Verhältnismäßigkeit nicht Einzug in die Geheimdienstpraxis gefunden hat, ist weiterhin von einer Datenauswertung auszugehen, die den Wesensgehalt des Datenschutzgrundrechts verletzt.“

Dasselbe gelte für die institutionellen Garantien durch Schaffung einer Beschwerdestelle und eines Datenschutzgerichts. Diese Gremien befänden sich noch im Aufbau. Die Arbeitsfähigkeit werde erst in mehreren Monaten gewährleistet sein. Derzeit verfasste „Transfer Impact Assessments“ müssten deshalb nach wie vor zu dem vom EuGH vorgezeichneten Ergebnis kommen. Die staatlichen Zugriffsbefugnisse in den USA gingen weiterhin über das in einer demokratischen Gesellschaft erforderliche Maß hinaus.

Inhalt der Executive Order – Garantien für europäischen Bürger

Die „Executive Order“ schafft demnach Garantien für europäischen Bürger gegenüber den US-amerikanischen Geheimdiensten. Die USA hätten sich damit weit auf die europäische Grundrechtstradition zubewegt. Die bisweilen zu lesende eher reflexartige und pauschale Kritik sei daher unangebracht. Ob der Rechtsakt letztlich den Anforderungen des EuGH genügt, werde von zahlreichen Details sowie der Umsetzung in der Praxis abhängen. Deswegen sei es jetzt wichtig, im dafür vorgesehenen Verfahren die rechtlichen Garantien gründlich zu prüfen. Zunächst sei der Entwurf der EU-Kommission für einen Angemessenheitsbeschluss abzuwarten. Zu diesem werde sich der Europäische Datenschutzausschuss dann äußern.

„Positiv ist hervorzuheben, dass erstmals geheimdienstliche Aktivitäten unter einen Verhältnismäßigkeitsvorbehalt gestellt werden.“ Hier zeigten die USA Bereitschaft, den Umfang staatlicher Datenerhebungen zumindest einzugrenzen. „Der häufig zu lesende Einwand, dass die ,Proportionality’ nicht 1:1 der deutschen ,Verhältnismäßigkeit’ entspricht, wird der Bedeutung des Themas nicht gerecht.“ Die Begriffsdefinition in der „Executive Order“ lehne sich erkennbar an das europäische Verfassungsrecht an. Das einzelfallbezogene und überprüfbare Dokumentationserfordernis zwinge zudem zu einer jeweils sorgfältigen Abwägung. Ein Angemessenheitsbeschluss erfordere keine vollständig kongruenten Rechtssysteme, sondern lediglich ein dem Wesen nach gleiches Niveau. „Schon im Vorfeld zu unterstellen, dass Rechtsbegriffe in der Umsetzungspraxis unzureichend ausgelegt werden könnten, ist spekulativ.“

Problematisch sei hingegen, dass am Instrument der Massenüberwachung (bulk collection) ausdrücklich festgehalten werde. „Inwieweit die neue Verhältnismäßigkeitsanforderung konkret die Massenüberwachung verändert, ist dem Text der ,Executive Order’ daher nicht eindeutig zu entnehmen.“ Wichtig seien deshalb engmaschige Überprüfungen der künftigen Anwendung im Hinblick auf etwaige Fehlentwicklungen.

Erfreulich sei auch, dass ein weiterer wesentlicher Kritikpunkt des Gerichtshofs aufgegriffen worden sei, nämlich ein effektiver Rechtsschutz europäischer Bürger gegen sie betreffende geheimdienstliche Aktivitäten durch ein Gremium mit verbindlichen Entscheidungsbefugnissen: Der neu eingerichtete „Data Protection Review Court“ genieße eine Stellung wie ein Gericht, werde mit unabhängigen Richtern von außerhalb der Exekutive besetzt und könne unter anderem Datenlöschungen und Verarbeitungseinschränkungen anordnen. „Werden im Rechtsschutzverfahren rechtswidrige Verarbeitungen ermittelt, verpflichtet die ,Executive Order’, diese zu beseitigen.“

Zu beachten sei jedoch, dass für die Kläger das Rechtsschutzverfahren in der Sache vielleicht effektiv, aber kaum transparent und nachvollziehbar sei. „So ist nicht vorgesehen, in den Urteilen darüber zu informieren, ob und welche Maßnahmen ergriffen wurden.“ Diese Handhabung des Spannungsfelds zwischen staatlichem Geheimhaltungsinteresse und Rechtsschutzinteressen der Betroffenen würden die Kommission und der Datenschutzausschuss gründlich zu beleuchten haben.

Die Rechtsform als „Executive Order“ sei das probate Regelungsinstrument in den USA für extraterritoriale Anordnungen – es handele sich nicht um ein Gesetz zweiter Klasse. Sie sei insofern nicht mit der eher schwachen deutschen „Verordnung“ zu vergleichen. Robuste Eingriffe wie Wirtschaftssanktionen und Terrorismusbekämpfung würden seit Jahrzehnten wirksam per Präsidentenanordnung durchgesetzt. „Dass sie z.B. nach einem Regierungswechsel zügig zurückgenommen werden kann, ist richtig. Dies gilt für parlamentarische Gesetze jedoch ebenfalls.“ Die EU werde darauf mit sofortiger Aberkennung des Angemessenheitsstatus reagieren können.

Executive Order hat fundierte, ergebnisoffene Prüfung verdient

Die „Executive Order“ habe eine fundierte, ergebnisoffene Prüfung verdient. Die Kommission werde bei der Prüfung der Angemessenheit vor der Herausforderung stehen, einen abstrakten, noch nicht in der Praxis gelebten Rechtstext zu bewerten. „Entscheidende Punkte wie die Interpretation der Verhältnismäßigkeit durch die Geheimdienste oder die Funktionsfähigkeit des Datenschutzgerichts werden von der tatsächlichen Anwendung abhängen.“

Vor diesem Hintergrund sei zu raten, die künftige Entwicklung vor Ort im Blick zu halten. Dies erfordere von europäischer Seite einzufordernde Transparenz. Entsprechende Bedingungen und Vorbehalte könnten in den Beschluss mit aufgenommen werden.

Weitere Informationen zum Thema:

THE WHITE HOUSE, 07.10.2022
Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities

datensicherheit.de, 02.06.2021
Schrems II: Koordinierte Prüfung internationaler Datentransfers gestartet / Länderübergreifende Kontrolle der Datenübermittlungen von Unternehmen in Staaten außerhalb der EU im Kontext des EuGH-Urteils Schrems II

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

[datensicherheit.de, 27.10.2022] Der Europäische Gerichtshof (EuGH) hatte Ende September 2022 entschieden, dass die in Deutschland 2015 eingeführte Vorratsdatenspeicherung rechtswidrig ist. Patrycja Schrenk, Geschäftsführerin der PSW GROUP, kommentiert: „Es ist ein lange erwartetes Urteil, das aber noch rechtliche und politische Folgen nach sich ziehen wird.“ Das Thema Vorratsdatenspeicherung sei hierzulande „noch lange nicht vom Tisch“ warnt sie, zumal der EuGH „kein Urteil in Schwarz-Weiß“ erlassen hat. Vielmehr sei versucht worden, auch die Interessen der Strafverfolger zu berücksichtigen, begrüßt Schrenk jedoch das Urteil.

Foto: PSW GROUP

Patrycja Schrenk: Ein lange erwartetes Urteil, das aber noch rechtliche und politische Folgen nach sich ziehen wird…

Telekommunikationsdaten: Pauschale Speicherung laut Schrenk drastischer Eingriff in die Privatsphäre

So hätten die Richter für bestimmte, eng gefasste Fälle eine gezielte Speicherung zugelassen, für die sie die Schwelle allerdings hochgelegt hätten: Nur bei schweren Verbrechen, auch bei einer „Bedrohung für die nationale Sicherheit“ und immer „unter strikter Beachtung des Grundsatzes der Verhältnismäßigkeit“ solle der Zugriff auf Daten möglich sein.

„Die anlasslose, pauschale Speicherung von Telekommunikationsdaten, die das deutsche Recht erlaubte, war ein drastischer Eingriff in die Privatsphäre. So war es in Deutschland erlaubt, wenngleich seit 2017 nicht mehr praktiziert, beispielsweise Informationen darüber, wer wann mit wem wo telefonierte und wer über welche IP-Adresse im Netz surfte, vorsorglich zu speichern“, erläutert Schrenk.

Die Idee dahinter: Sollten diese Informationen zur „Bekämpfung schwerer Kriminalität“ oder zum „Schutz der nationalen Sicherheit“ einmal gebraucht werden, sollten sie einfach aus der Schublade geholt werden können. „Der Europäische Gerichtshof allerdings hat eindeutig klargestellt, dass die vorsorgliche Speicherung dieser sensiblen Informationen nur für den Fall, dass sie einmal nützlich sein könnten, rechtswidrig ist“, betont Schrenk.

Schrenk sieht nun die Politik gefordert

Jetzt sei die Politik gefordert, „wie sie mit den Vorgaben aus Luxemburg umgeht und ob sie einen weiteren Versuch startet, eine unionsrechtskonforme Regelung zu schaffen“. Jedoch sollte die Bundesregierung dabei ihre Vereinbarung aus dem Koalitionsvertrag nicht aus den Augen verlieren: „Schließlich wurde dort festgehalten, dass nur anlassbezogen und durch richterlichen Beschluss gespeichert werden darf“, mahnt die IT-Sicherheitsexpertin und verweist auf eine mögliche Variante, welche auch schon vor der Entscheidung aus Luxemburg diskutiert worden sei: das „Quick Freeze“-Verfahren. „Bei diesem Verfahren werden bei konkreten Anhaltspunkten für Straftaten Informationen vorsorglich für einen beschränkten Zeitraum gesichert – die Auswertung darf allerdings nur mit richterlichem Beschluss erfolgen.“

Ob und wie die Politik jetzt handelt, bleibe abzuwarten. Den jüngsten Vorschlag von Bundesinnenministerin Nancy Faeser hingegen sieht Schrenk kritisch: „Der Vorschlag der Ministerin, jedem Internet-Provider die vollständige, anlasslose und verdachtsunabhängige Speicherung der IP-Daten seiner Nutzenden vorzuschreiben, ist eine aus Datenschutzsicht haarsträubende Idee.“

Allein die Kenntnis der Identität eines Internetnutzers mache in Verbindung mit den Logfiles der Provider nachvollziehbar, „mit wem wir Kontakt hatten und für welche Internet-Inhalte wir uns interessiert haben“. Das wiederum lasse Aussagen „beispielsweise über unsere politische Meinung, unsere Religion, unsere Krankheiten oder unsere sexuelle Orientierung zu“, unterstreicht Schrenk abschließend.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 06.10.2022
Vorratsdatenspeicherung: Ist der Staat nun machtlos gegen Kriminelle?

datensicherheit.de, 27.10.2022
Quick Freeze: Entwurf des Bundesjustizministeriums erfährt Zustimmung und Nachbesserungswünsche / Bürgerrechtler nehmen Stellung zur Vorratsdatenspeicherung-Alternative per Quick Freeze

datensicherheit.de, 26.110.2022
Statt Vorratsdatenspeicherung: Bundesjustizminister macht Quick-Freeze-Vorschlag – eco-Vorstandsvorsitzender kommentiert / Der eco hat stets die vom EuGH kürzlich als europarechtswidrig eingestufte Vorratsdatenspeicherung kritisiert

datensicherheit.de, 20.09.2022
Vorratsdatenspeicherung: BfDI begrüßt EuGH-Urteil / EuGH sieht Gefahr der Erstellung persönlicher Netzwerke und Profile einzelner Personen

datensicherheit.de, 20.09.2022
EuGH: Absage zur Vorratsdatenspeicherung in Deutschland historisch / Mit EuGH-Entscheidung vom 20. September 2022 den Menschen ein Stück Sicherheit und Privatsphäre zurückgegeben