Was die EU netzpolitisch für 2022 plant

Digitale-Dienste-Gesetz und Digitale-Märkte-Gesetz:

Mit diesen beiden Verordnungen sollen Grundregeln für die digitale Welt geschaffen werden, u. a. um große Plattformen wie Google, Amazon und Apple in deren Macht einzuschränken.

Die EU-Staaten verhandeln aktuell noch mit dem EU-Parlament über einzelne Bestimmen der zwei Gesetze, wie etwa eine Verpflichtung für Netzwerke und Messenger-Dienste, den Austausch von Nachrichten interoperabel (mit anderen Diensten) zuzulassen, stärkeren Schutz vor Online-Tracking und die Forderung, auf Pornoplattformen Handynummer und E-Mail-Adresse zu hinterlegen, bevor man Videos hochladen kann.

Kennzeichnungspflicht für politische Werbung: 

Die Kennzeichnungspflicht soll sowohl online für Facebook, Youtube, etc. als auch offline gelten.

Verhaltenskodex gegen Desinformation:

Mit dem Ziel, Fake News und Wahlbeeinflussung besser bekämpfen zu können, soll der (bereits existierende) Verhaltenskodex zur Bekämpfung von Desinformation der EU überarbeitet werden.

Verordnung zur Regulierung von künstlicher Intelligenz:

KI soll reguliert werden, indem hochriskante Anwendungen genehmigungspflichtig gemacht werden bzw. teilweise ganz verboten werden sollen. Biometrische Videoüberwachungsmaßnahme sollen allerdings weiterhin in „wenigen, eng definierten Ausnahmefällen“ zugelassen sein.

ePrivacy-Verordnung:

Hier existieren noch große Differenzen zwischen dem Gesetzesentwurf des EU-Staaten-Rats (welche den Schutz der Privatsphäre schwächen würde) und der des EU-Parlaments (welche Privatsphäre stärken soll). Die Verhandlungen laufen.

Übrigens existiert eine Ausnahme von der aktuell existierenden ePrivacy-Richtlinie, für die die EU-Kommission einen neuen Vorschlag vorlegen will. Zuvor erlaubt die Ausnahme Netzwerkdiensten wie Facebook, private Nachrichten auf Inhalte bezüglich Kindesmissbrauchs zu untersuchen. Im neuen Vorschlag soll diese Untersuchung sogar verpflichtend vorgeschrieben werden.

Zugriff auf verschlüsselte Inhalte:

Laut geleakten  EU-Dokumenten soll 2022 ein Gesetzesentwurf kommen, der den Strafverfolgungsbehörden Zugriff auf verschlüsselte Inhalte ermöglichen soll.

Ebenso gibt es neue Überlegungen vonseiten der EU-Kommission, Telekommunikationsdienstleister zu einer Vorratsdatenspeicherung zu verpflichten, obwohl solche Ansätze in der Vergangenheit vom Europäischen Gerichtshof gekippt wurden.

Digitaler Identitätsnachweis

Aus einer ganzen Reihe elektronischer IDs, die auf nationaler Ebene existieren, soll nun eine einheitliche, europaweite Lösung entstehen.

European Cyber Resilience Act

Es soll ein gemeinsamer Standard zum Schutz internetfähiger Geräte entstehen, ausgelöst durch die zunehmenden Ransomware-Attacken in Zeiten von Covid-19.

Einheitliche Ladegeräte und Recht auf Reparatur:

Mit einheitlichen Ladegeräten und Ladeanschlüssen sollen zukünftig elektrische Geräte europaweit nachhaltiger werden. Ebenso soll ein Vorschlag zum Recht auf Reparatur für elektronische Geräte kommen.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/jahresvorschau-was-die-eu-netzpolitisch-fuer-2022-plant/

Datenschutzrechtliche Anforderungen an eine Website

Wenn man durchs Internet surft, so fällt auf, dass ein großer Teil der rechtlichen Anforderungen nicht erfüllt werden. Was aufgrund der steigenden Komplexität auch nicht verwundert. Als Betreiber einer Website hat man u.a. die nachfolgenden Fragestellungen zu beachten:

  • Was muss bei der Einholung einer Einwilligung beachtet werden?
  • Was ist das TTDSG? Was muss beachtet werden?
  • Muss man auch eine Einwilligung bei Cookies ohne Personenbezug einholen?
  • Darf man noch Daten in die USA übermitteln?
  • Welche rechtlichen Tücken gibt es bei Consent-Tools (z.B. Cookiebot)?
  • Wer haftet bei einer datenschutzrechtswidrigen Website?
  • Welche technischen und organisatorischen Anforderungen sind zu berücksichtigen?

Die GINDAT möchte Sie gerne in der neuen Reihe – Datenschutzrechtliche Anforderungen an eine Website – auf die aktuellen Schwierigkeiten aufmerksam machen. In Teil 1 wird es um das TTDSG (Das Telekommunikation-Telemedien-Datenschutzgesetz) gehen und die Abgrenzung zur DSGVO.

Datenübermittlung in die USA

Serverstandort in Deutschland – mehr Schein als Sein

Seitdem der EuGH entschieden hat, dass der Privacy Shield keine geeignete Grundlage zu Übermittlung von personenbezogenen Daten in die USA darstellt, gab es eine Vielzahl von Diskussionen, Tipps und Empfehlungen.

(Mehr zum Sturz des Privacy Shield finden Sie in unserem Artikel unter https://www.gindat.de/news/detail/eugh-erklaert-privacy-shield-fuer-ungueltig.html)

Die ganzen bisherigen Empfehlungen lassen sich bisher jedoch in der Praxis nicht, oder nur schwer umsetzen.

Jetzt gibt es einige US-Unternehmen und sogar Datenschützer, die meinen, die Lösung gefunden zu haben – die Daten sollen nur noch auf Servern in Deutschland/ Europa verarbeitet werden. So fände nämlich keine Übermittlung in die USA statt und die DSGVO wäre für die Server anwendbar.

Hört sich zunächst gut an, ist aber leider nur eine Marketingstrategie und löst das Problem nicht.

Denn der EuGH hat den Privacy Shield für nicht ausreichend erklärt, da US-Gesetze zur Anwendung kommen, die mit europäischem Recht nicht vereinbar sind. Es handelt sich dabei um die folgenden Gesetze:

  • CLOUD Act
  • USA Patriot Act
  • USA Freedom Act
  • Foreign Intelligence Surveillance Act (FISA)

Diese Gesetze statten die US-Behörden mit weitreichenden Befugnissen aus, die es Ihnen erlauben auch auf personenbezogene Daten aus Europa zuzugreifen. Gegen diese Eingriffe steht den Bürgern der EU dagegen kein effektiver Rechtsschutz zur Verfügung. Die Lösung des Problems kann daher nur darin bestehen, dass die Behörden in den USA aus rechtlichen Gründen oder tatsächlichen Gründen daran gehindert werden, auf die Daten zuzugreifen. Doch das ist bei einem Serverstandort in Deutschland bzw. Europa nicht der Fall.

Zunächst ist zu beachten, dass die Unternehmen aus den USA die US-Gesetze weiterhin beachten müssen. Ein amerikanisches Unternehmen kann die Herausgabe der Daten nämlich nicht mit der Begründung ablehnen, dass sich die Server nicht in den USA befinden.

Ein Serverstandort führt auch nicht zu einem tatsächlichen Hindernis, da der Sinn eines Servers gerade darin besteht, dass die Daten überall von der Welt aus abgerufen werden können.

 Was ist bei deutschen bzw. europäischen Dienstleistern zu beachten?

Auch der Einsatz deutscher oder europäischer Dienstleister birgt Gefahren, da diese häufig amerikanische Subunternehmer einsetzen. Somit wird das Problem nur verlagert. Man kann sich als Unternehmen auch nicht darauf berufen, dass der Dienstleister dafür verantwortlich ist, die Daten in die USA rechtssicher zu übermitteln.

Lösungen?

Wie oben bereits beschrieben gibt es derzeit verschiedene Lösungsmöglichkeiten, die jedoch alle ihre praktischen Probleme mit sich bringen.

Standardvertragsklauseln

Zunächst sind die sogenannten Standardvertragsklauseln abzuschließen, die gewährleisten sollen, dass der Dienstleister ein angemessenes Datenschutzniveau garantiert. Um die Rechtsprechung des EuGH hat die EU-Kommission neue Standardvertragsklauseln erlassen (mehr dazu finden Sie unter https://www.gindat.de/news/detail/datenuebermittlung-in-drittlaender-neue-standardvertragsklauseln.html)

Da die Standardvertragsklauseln jedoch nicht die Anwendbarkeit der US-Gesetze ausschließen können, stellen sie grundsätzlich nur eine erste Maßnahme dar. Ausgenommen sind davon Fälle, in denen auf den ersten Blick erkennbar ist, dass keine sensiblen Daten oder Daten in einem erheblichen Umfang in die USA übermittelt werden sollen.

Zusätzliche Maßnahmen

Die Schwierigkeit bei der Übermittlung personenbezogener Daten in die USA stellen die zusätzlichen Maßnahmen dar.

  • Serverstandort in Deutschland/ Europa
    Problem: Marketingmaßnahme, hilft nicht weiter.
  • Verschlüsselung: Eine geeignete und effektive Maßnahme stellt die Verschlüsselung der Server dar.
    Problem: Wird von den meisten Dienstleistern nicht unterstützt
  • Transfer Impact Assessment: Es handelt sich dabei um eine Risikoanalyse zur Beurteilung der rechtliche Lage in den USA, dabei darf auch berücksichtigt werden, wie hoch die Wahrscheinlichkeit ist, dass die US-Behörden von ihren Befugnissen Gebrauch machen.
    Problem: Die erforderliche Prüfung wird insbesondere für KMUs kaum wirtschaftlich und rechtlich zu bewältigen sein.
  • Einwilligung: Die DSGVO erlaubt die Einwilligung der betroffenen Person zur Übermittlung in Drittländer ohne Angemessenheitsbeschluss.
    Problem: Einwilligungen sind immer freiwillig und können jederzeit widerrufen werden. Die Regelung wird von vielen restriktiv ausgelegt, das heißt, dass eine Einwilligung nur rechtmäßig ist, wenn nur eine gelegentliche Übermittlung von Daten in die USA erfolgt. Folgt man der Auslegung können z.B. Webseiten die Übermittlung von Daten in die USA in der Regel nicht auf eine Einwilligung stützen.

Verzicht auf US-Dienstleister?

Sollte man also auf US-Dienstleister verzichten, wenn man keine geeigneten Maßnahmen findet, personenbezogene Daten rechtskonform in die USA zu übermitteln?

Man wird hier als Unternehmen abwägen müssen. Denn gelingt die rechtskonforme Übermittlung nicht, setzt man sich einem Haftungsrisiko aus. Die Datenschutzbehörden können nach Artikel 83 Absatz 5 c DSGVO Bußgelder in Höhe von 20.000 000 verhängen und betroffene Personen (Arbeitnehmer, Kunde usw.) können Schadenersatzansprüche gerichtlich geltend machen.

In der Regel wird jedoch die Umstellung auf europäische Dienstleister auch nicht die Lösung sein, denn unabhängig von Kosten, Zeitaufwand und technischen Problemen, gibt es meistens mit Blick auf die Qualität keine ernsthaften Alternativen zu USA-Dienstleistern.

Nichtsdestotrotz sollte man seine Dienstleister überprüfen und versuchen ein angemessenes Datenschutzniveau zu erreichen. Falls das nicht möglich ist, ist zumindest zu prüfen, ob der Umstieg auf einen anderen Dienstleister in Betracht gezogen werden kann. Die Prüfung und Abwägung ist für die Behörden zu dokumentieren. So hat schon das BayLDA bemängelt, dass Unternehmen Dienstleister ohne vorherige Abwägung einsetzen (https://gdprhub.eu/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159/20-IDV).

Beim Einsatz neuer Dienstleister sollte man kritisch bleiben, und sich mit dem Datenschutzbeauftragten absprechen, da viele Dienstleister Ihre Versprechen nicht einhalten können.

Fazit

Bis dahin bleibt die rechtliche Lage leider unbefriedigend, es bleibt zu hoffen, dass eine politische Lösung entwickelt wird, die die Unternehmen entlastet.

Max Macht
Volljurist

Neue Cookie-Regelung in Kraft getreten

Seit diesem Monat gilt das neue TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), welches von Webseitenbetreibern eine explizite Nutzereinwilligung für das Speichern und Auslesen von Cookies und ähnlichen Technologien verlangt. Die einzige Ausnahme hiervon sind Cookies, die unbedingt erforderlich sind, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann.

Nach mehreren Jahren sind den Anforderungen der E-Privacy-Richtlinie der EU damit endlich genüge getan. Da die meisten Webseitenbetreiber bereits 2020 DSGVO-konforme Cookiebanner eingerichtet haben dürften, sollte sich in der Praxis mit dem neuen Gesetz wenig ändern.

Was bisher allerdings noch nicht umgesetzt wird, sind die Regelungen von Cookie-Managern, PIMS (Personal Information Managementservices) oder Single-Sign-Ons – also Dienste zur Einwilligungsverwaltung. Diese sollen noch per Rechtsverordnung reguliert werden.
Anforderungen an solche Dienste wurden auch schon von der Verbraucherzentrale Bundesverband ausgesprochen: demnach solle der Verbraucher generelle Spezifikationen und Widersprüche festlegen können, sodass diese für jede besuchte Seite einfach übernommen werden können. Für solche Dienste kämen auch Browser-Erweiterungen infrage. Die VZBV betont, dass Einwilligungen so einfach abgelehnt und widerrufen werden müssten, wie sie erteilt werden können. Wichtig ist dabei, dass Bereitsteller eines solchen Einwilligungsdienstes „kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können“.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/ttdsg-neue-cookie-regelung-in-kraft-getreten-2112-161473.html

Datenschutz-Kritik an 3G-Regelung am Arbeitsplatz

Ulrich Kelber, seines Zeichens Bundesdatenschutzbeauftragter, bemängelt die Umsetzung der 3G-Regeln am Arbeitsplatz als „fehlerhaft“, obwohl er die Regelung als solche grundsätzlich befürwortet.

Anstatt Kontrolle einfach nur zu ermöglichen werden Unternehmen unter Bußgelddrohungen zu selbiger gezwungen. Dabei gibt es innerhalb des Gesetzes auch keine konkreten Schutzmaßnahmen für die Daten der Beschäftigten.

Datenschutzrechtliche Fehler bei der Umsetzung des Gesetzes führen letztlich zu Klagen vor Gericht und ein Herauszögern vor Gerichten würde auch der Pandemiebekämpfung schaden.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2021/16_3G-am-Arbeitsplatz.html