Kategorie-Archiv: EU Kommission

Entwurf einer E-Privacy-Verordnung

Am 10. Januar 2017 hat die EU-Kommission ihren offiziellen Entwurf für über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG  (Verordnung über Privatsphäre und elektronische Kommunikation)  vorgelegt. Zeitgleich mit der zum 25. Mai 2018 wirksam werdenden EU-Datenschutzgrundverordnung (DS-GVO) soll die E-Privacy Verordnung die bisher geltende e-Privacy-Richtlinie und die ergänzende Cookie-Richtlinie aus dem Jahr 2009 ersetzen. Dies war auch dringend erforderlich, da die Richtlinie zwangsläufig nicht mit der technischen Entwicklung standhalten konnte.

Die neue Privacy-Verordnung soll die EU-Datenschutz-Grundverordnung dort ergänzen, wo sie nicht hinreicht. Dies betrifft insbesondere die sogenannten Over-the-Top-Dienste (OTT). Die Kommission führt als Beispiele Kommunikationsdienste wie WhatsApp, Facebook, Messenger, Skype, Gmail, iMessage oder Viber, aber auch die Maschine zu Maschine Kommunikation im “Internet der Dinge” an.

Die Kommission erhöht in Artikel 6 Abs. 3 die Voraussetzungen für eine Analyse von Inhalten elektronischer Kommunikation wie etwa Mail- oder Messaging-Nachrichten, weil sie hier grundsätzlich ein hohes Risiko von Grundrechtsverletzungen sieht. So sollen Dienste wie Googles GMail dafür künftig vorab die Datenschutz-Aufsichtsbehörden entsprechend Artikel 63 der DS-GVO konsultieren – noch ehe sie hierfür die ausdrückliche Einwilligung der Nutzer einholen. Den Empfehlungen der Behörde müssen die Diensteanbieter dann zwingend folgen.

Art. 6 legt fest, inwieweit eine Verarbeitung elektronischer Kommunikationsdaten erlaubt ist. Grundsätzlich dürfen Unternehmen Kommunikationsdaten von Verbrauchern nur nutzen, wenn der Nutzer ausdrücklich eingewilligt hat (Abs. 3 lit. a) oder die Daten zuvor anonymisiert wurden (Abs. 3 lit. b).

Wie bei allen Einwilligungen kann der Nutzer seine einmal abgegebene Einwilligung nach Artikel 9 Abs. 3 jederzeit widerrufen. An die Widerrufsmöglichkeit muss der Nutzer in regelmäßigen Abständen von 6 Monaten erinnert werden, solange die Verarbeitung andauert.

Unter der Überschrift unerbetene Kommunikation enthält Artikel 16 eine Ausnahmeregelung für Direktwerbung, welche die Verwendung von E-Mail-Kontaktdaten ohne weitere Einwilligung erlaubt, wenn es bereits eine “Kundenbeziehung” zwischen Anbieter und Nutzer gibt. Kunden müssen klar und deutlich die Möglichkeit haben,einer solchen Nutzung kostenlos und auf einfache Weise zu widersprechen. Es läuft also auf eine Opt-Out-Regelung hinaus. Ein Verbraucher muss damit rechnen, dass er nach einem Online-Einkauf möglicherweise mit einer Flut von Newsletters und E-Mailwerbung überschüttet wird.

Die Pflicht der Webseiten-Betreiber ihre Besucher über alle Cookies zu informieren ist nicht mehr erforderlich. Dies betrifft Cookies, die zu Konfigurationszwecken gesetzt werden oder in einem Webshop für das Befüllen von Warenkörben genutzt werden. Bei Tracking-Cookies entfällt die Informationspflicht nur dann, wenn der Browser über einen Do-Not-Track-Mechanismus verfügt, der Zustimmung oder Ablehnung übermitteln kann.

Browser müssen so konfigurierbar sein, dass Cookies von der direkt besuchten Website akzeptiert, jedoch Cookies von Drittanbietern blockiert werden können. Damit ist klar, dass die Werbeindustrie Do-Not-Track nicht länger wie bisher ungestraft ignorieren darf. Gleichzeitig werden damit wohl auch die meisten Cookie-Warn-Banner überflüssig.

Etwas verklausuliert und erst beim zweiten Durchlesen wird der Inhalt des letzten Satz von Präambel 21 verständlich. Dort heißt es: „Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

Damit versucht die Kommission das Blockieren von Adblock-Nutzer auf Verlags-Webseiten zu rechtfertigen. Diese Regelung dürfte aber dem Kopplungsverbot  in Art. 7 Abs. 4  DS-GVO zu widerlaufen, wonach eine verweigerte Einwilligung nicht zu einer grundsätzlichen Blockade des Webseitenbesuchers führen darf.

Der Sanktionsrahmen der geplanten E-Privacy-Verordnung entspricht konsequenterweise der Datenschutzgrundverordnung und verleiht den Vorgaben entsprechend Nachdruck. Ein Verbandsklagerecht, wie im Vorentwurf noch vorgesehen, gibt es nicht mehr. Das deutsche Verbandsklagerecht wird davon nicht beeinträchtigt.

Der Verordnungsentwurf geht jetzt zur Beratung zum Europäischen Parlament und zum Europäischen Rat.

EU-Parlament beschließt Datenschutzgrundverordnung

Vier Jahre hat es nun gedauert, seitdem die EU-Kommission im Jahr 2012 einen ersten Entwurf für eine Neuordnung und Vereinheitlichung des europäischen Datenschutzes vorgelegt hatte. Die seit 1995 bestehende Datenschutzrichtlinie war dringend erneuerungsbedürftig, da sie aufgrund der rasanten technischen Entwicklung überholt war. Sie machte grundlegende Prinzipien wie Zweckbindung und Datensparsamkeit zum europaweiten Standard.

Die Verordnung tritt 20 Tage nach Veröffentlichung im Amtsblatt in Kraft und wird in zwei Jahren wirksam sein.

Am 4. Mai 2016 erfolgte die Veröffentlichung der DS-GVO im Amtsblatt der Europäischen Union. Sie tritt 20 Tage später in Kraft und wird nach einer zweijährigen Übergangszeit am 25.05.2018 für Unternehmen und Behörden verpflichtend. Der Zeitraum bis zum Wirksamwerden wirkt auf den ersten Blick sehr lang. Der Arbeitsaufwand sollte in Unternehmen und Behörden aufgrund der Vielzahl der neuen Anforderungen nicht unterschätzt werden, um die Prozesse der Datenverarbeitung den neuen Regelungen anzupassen.

Hatte das BDSG 48 Paragraphen, so kommt, die EU-Datenschutz-Grundverordnung mit 99 Artikeln und 173 Erwägungsgründen daher und ist damit deutlich umfangreicher als das Bundesdatenschutzgesetz. Die Verordnung, die zum Teil auch Richtliniencharakter hat, enthält eine Reihe von Öffnungsklauseln, die der nationale Gesetzgeber auf nationaler Ebene zusätzlich bestimmte Regelungsbereiche auszufüllen hat, das gibt ihm aber auch die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand. Die Herausforderung besteht  darin, dass dem Gesetzgeber ein relativ kurz bemessener Zeitraum zur Verfügung steht, die entsprechenden Gesetzgebungsverfahren durchzubringen. Durch die im Herbst 2017 stattfindende Bundestagswahl wird das gerade in der Bundesrepublik zu einer großen Herausforderung.

Es lassen sich folgende Prinzipien unterscheiden:

  • Grundsatz der Rechtmäßigkeit (Art. 5 Abs. 1 a, 1. Fall),
  • Grundsatz der Fairness (Art. 5 Abs. 1 a, 2. Fall),
  • Grundsatz der Transparenz (Art. 5 Abs. 1 a, 3. Fall),
  • Grundsatz der Zweckbindung (Art. 5 Abs. 1 b),
  • Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 c),
  • Grundsatz der sachlichen Richtigkeit (Art. 5 Abs. 1 d),
  • Grundsatz der begrenzten Speicherung (Art. 5 Abs. 1 e),
  • Grundsatz der Datensicherheit, Integrität und Vertraulichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der Verantwortlichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der datenschutzfreundlichen Technikgestaltung (Art. 25 Abs. 1),
  • Grundsatz der datenschutzfreundlichen Voreinstellung (Art.25 Abs. 2).

Was sind die wesentlichen Änderungen?

Einwilligung & Auskunftsrecht: Die Einwilligung bleibt wesentlicher Erlaubnistatbestand für die Datenverarbeitung und ihre Wirksamkeit wird weiterhin an strenge Voraussetzungen geknüpft, die zum Teil über die bisherigen Anforderungen hinausgehen.

 Der Einwilligende muss über Identität des Verantwortlichen und möglicher Empfänger, Art, Umfang und Zweck der Datenverarbeitung sowie das jederzeitige Widerrufsrecht informiert werden.

Das BDSG sah für die Einwilligung die Schriftform vor. Eine andere Form war wegen besonderer Umstände jedoch möglich (§ 4 a BDSG), wie z.B. im Onlinebereich mittels Mausklick.

Eine besondere Form der Einwilligung ist in der DSGVO nicht mehr vorgesehen. Die Einwilligung kann nunmehr mündlich, per Mausklick, mittels schlüssigen Verhaltens oder technischer Einstellungen am Browser erteilt werden.

Datenübertragbarkeit: Neu ist das Recht auf Datenübertragbarkeit gemäß Art. 20. Des Betroffenen erhält dadurch das Recht zur ungehinderten und uneingeschränkten Übermittlung seiner erhobenen personenbezogenen Daten durch den Verantwortlichen.

Die Datenübertragung hat in einer strukturierten, gängigen und maschinenlesbaren Form zu erfolgen.

Recht auf Vergessenwerden: Seit einem Urteil des Europäischen Gerichtshofs muss Google auf Verlangen von Nutzer*innen Suchergebnisse, welche auf sie bezogene Daten beinhalten, löschen. Dieses Recht wird nun für alle Unternehmen festgeschrieben. Sie müssen zukünftig persönliche Daten auf Wunsch der Betroffenen löschen.

Deutlich erhöhter Bußgeldrahmen: Verstöße gegen die Datenschutzregel, können mit bis zu vier Prozent des Jahresumsatzes eines Unternehmens geahnet werden. In einem früheren Entwurf war sogar ein Bußgeld von bis zu fünf Prozent des Jahresumsatzes als Strafe vorgesehen.

Mindestalter: Die Grundverordnung läßt den Mitgliedstaaten einen Entscheidungsspielraum,  ab wann sich Kinder und Jugendliche ohne Zustimmung der Eltern bei Webseiten rechtswirksam anmelden dürfen. Das könnte dazu führen, dass sich in einigen EU-Staaten Kinder bereits ab 13 Jahren beispielsweise bei Facebook anmelden dürfen, während in anderen EU-Ländern noch bis zum 16. Geburtstag die Zustimmung der Eltern dafür benötigt wird.

Marktortprinzip: Das Datenschutzrecht gilt nun für alle Unternehmen, die auf dem europäischen Markt tätig sind, unabhängig davon ob sie ihren Sitz innerhalb der EU haben oder nicht. Wo die Datenverarbeitung stattfindet, ist auch unerheblich, da jede Verarbeitung von personenbezogenen Daten von Nutzerinnen bzw. Nutzern aus der EU unter den Anwendungsbereich der Grundverordnung fällt.

Privacy by Design – Privacy by Default

Art. 25 schreibt „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” vor. Unternehmen sollen bereits bei der technischen Produktentwicklung bzw. bei der Produktimplementierung datenschutzfreundliche Grundeinstellungen achten.

EuGH: Safe-Harbor-Entscheidung mit den USA ungültig

Der EuGH folgte in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook] – Volltext) in seiner Entscheidung vom 6.10.2015 den Schlussanträgen (siehe Beitrag auf dieser Website) des Generalanwalts Bot. Demnach ist die Übermittlung von personenbezogenen Daten von Nutzern in Europa in die USA nicht schon auf Grundlage der sog. Safe-Harbor-Entscheidung (2000/520/EG v. 26.7.2000) durch ein „angemessenes Schutzniveau“ geschützt. Die Safe-Harbor-Entscheidung der EU-Kommission ist vielmehr ungültig, und die Datenschutzbehörden der befassten Mitgliedsstaaten sind befugt eigenständig zu prüfen, inwiefern für die USA ein sog. „angemessenes Schutzniveau“ besteht.

Inhalt des Urteils

Die Richtlinie 95/46/EG (Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281, S. 31 ff) regelt, dass eine Übermittlung von personenbezogenen Daten in ein sog. Drittland (ein Staat außerhalb von EU/EWR) nur zulässig ist, wenn dieses Drittland ein „angemessenes“ Schutzniveau der Daten gewährleistet. Nach der Richtlinie ist die Kommission legitimiert zu bestimmen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, etwa aufgrund des innerstaatlichen Rechts oder internationaler Verpflichtungen. Letztere ist die sog. Safe-Harbor-Entscheidung (näher: Beitrag auf dieser Website).

Der EuGH führt in dem Urteil vom 6.10.2015 aus, dass eine Aufsichtsbehörde aufgrund der Vermutung der Rechtmäßigkeit von Rechtsakten solange keine zuwiderlaufende Maßnahme gegen die Safe-Harbor-Entscheidung treffen könne, wie die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt werde. Aus diesem Grunde „ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese […] um eine Vorabentscheidung über deren Gültigkeit ersuchen.“ Denn der Aufsichtsbehörde müsse – trotz einer Entscheidung der Kommission – die Möglichkeit bleiben, in völliger Unabhängigkeit prüfen zu können, ob bei der Übermittlung von Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Daher könne eine Entscheidung der Kommission (hier: Safe-Harbor-Entscheidung), die Aufsichtsbehörde nicht an der Kontrolle der Übermittlung personenbezogener Daten in Drittländer hindern.

Sodann prüft der EuGH die Gültigkeit der Safe-Harbor-Entscheidung und erklärt diese für ungültig. Er beanstandet u.a., dass die Safe-Harbor-Entscheidung nur für Unternehmen mit Sitz in den USA gelte, nicht aber für die Behörden innerhalb der USA. Darüber hinaus werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Vorrang vor den Grundsätzen der Safe-Harbor-Entscheidung eingeräumt, weshalb die Unternehmen in den USA „ohne jede Einschränkung verpflichtet [sind], die Grundsätze […] unangewandt zu lassen“, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Dadurch werde ein Eingriff der US Behörden in die Grundrechte der Personen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden, ermöglicht. Hinzu komme das fehlende Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe, wie der Generalanwalt in seinen Schlussanträgen ausgeführt habe.

Schließlich fehle die Möglichkeit des Betroffenen mittels gerichtlichen Rechtsbehelfen den Zugang zu den ihn betreffenden Daten zu erhalten und ggf. deren Berichtigung oder Löschung zu erwirken, was den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletze.
Die Entscheidung trifft die Meinung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19.3.2015, die gemäß ihrer Entschließung ebenfalls auf dem Standpunkt steht, dass Safe-Harbor kein angemessenes Schutzniveau gewährleistet.

Folgen des Urteils

Die irische Datenschutzbehörde muss nun die Beschwerde von Herrn Schrems prüfen, was sie im Prüfungsverfahren abgelehnt hatte. Stellt sie fest, dass die USA kein angemessenes Schutzniveau im Sinne der Richtlinie aufweist, hat sie die Übermittlung der personenbezogenen Daten der europäischen Nutzer des Social-Media-Anbieters Facebook in die USA auszusetzen. Denkbar ist aber auch, dass die irische Datenschutzbehörde ein angemessenes Schutzniveau feststellt, was Herrn Schrems wahrscheinlich dazu bewegen wird, das Verfahren weiter zu betreiben und erneut den High Court anzurufen, sofern eine beschwerdefähige Entscheidung ergeht.

Aus alledem folgt, dass nationale Aufsichtsbehörden innerhalb der EU die Übermittlung europäischer Daten auf US-Server verbieten können. Das Urteil wirkt sich nicht nur auf personenbezogene Daten der Facebook-Nutzer aus, sondern betrifft sämtliche der mehr als 4.000 Unternehmen mit Sitz in den USA, die sich dem Safe-Harbor-Abkommen im Wege einer Selbstzertifizierung unterworfen haben. Dies führt dazu, dass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss, sofern nicht im Einzelfall unter Nutzung der EU Model Contracts vorgegangen wird. Die einzuhaltenden Grundsätze hat der EuGH in seinem Urteil skizziert. Das Urteil trifft vor allem kleinere Unternehmen, die sich bislang auf die Safe-Harbor-Entscheidung verlassen haben. Unternehmen müssen nun die Zulässigkeit der Datenübermittlung prüfen und auf andere Weise sicherstellen.

 

Generalanwalt EuGH: Safe-Harbor steht nicht über der Entscheidungsbefugnis nationaler Aufsichtsbehörden

In seinem Schlussantrag in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook], veröffentlicht am 23.09.2015 – Volltext) äußert der Generalanwalt am EuGH, Yves Bot, die Auffassung, dass die sog. Safe-Harbor-Entscheidung der EU-Kommission (2000/520/EG, ABl. L 215/7 v. 25.8.2000 – Volltext) nicht dem Vorhaben der irischen Aufsichtsbehörde entgegenstehe, die Übermittlung von Daten europäischer Facebook-Nutzer an Server in den Vereinigten Staaten verbieten zu können.

Hintergrund

Facebook als amerikanischer Social-Media-Anbieter unterhält in Irland eine Tochtergesellschaft und übermittelt von dort die Daten der Nutzer mit Wohnsitz in der EU an in den USA belegene Server. Die Richtlinie (95/46/EG – Volltext) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlaubt die Übermittlung von personenbezogenen Daten in ein Drittland (also Länder außerhalb der EU/EWR) nur dann, wenn dieses ein angemessenes Schutzniveau gewährleistet. Drittstaaten mit angemessenem Schutzniveau können entweder als solche festgestellt werden oder auf vertraglicher Grundlage als solche gelten. Hierauf bezog sich, soweit die USA betroffen waren, die o. a. Safe-Harbor-Entscheidung der Europäischen Kommission. Unternehmen in den USA, die der Zuständigkeit der Federal Trade Commission unterliegen, können in dem Safe-Harbor-Verfahren eine Selbstverpflichtung zur Einhaltung der in dem Abkommen niedergelegten Grundsätze erklären. Diesen Grundsätzen hatte sich das Unternehmen Facebook unterworfen, sodass der Datenaustausch nach Auffassung der zuständigen irischen Aufsichtsbehörde nicht zu beanstanden sei.

Im Zusammenhang mit dem Vorgehen des Österreichers Maximilian Schrems gegen Facebook legte der irische High-Court dem EuGH im Wege des Vorabentscheidungsersuchens die Frage vor, ob das Safe-Harbor-Verfahren eine nationale Aufsichtsbehörde daran hindere, eine Beschwerde zu untersuchen, die darauf abzielt, dass das Drittland kein angemessenes Schutzniveau gewährleiste.

Schlussantrag des Generalanwalts

Der Generalanwalt vertritt in den Schlussanträgen im Wesentlichen die Auffassung, dass die Europäische Kommission die USA nicht hätte als Safe-Harbor qualifizieren dürfen und hält dieses somit für ungültig. Er begründet seine Auffassung unter anderem mit der in den USA gelebten Praxis, personenbezogene Daten in großem Umfang zu sammeln, ohne dass Unionsbürger über einen wirksamen Rechtsschutz verfügen. Dies gelte insbesondere aufgrund der massiven und wahllosen Überwachung in den USA durch Nachrichtendienste und dem fehlenden Rechtsbehelf europäischer Bürger, was letztlich zu einem Verstoß gegen den Grundsatz der Verhältnismäßigkeit führe.

Auch stehe das Safe-Harbor-Verfahren nicht über der Entscheidungsbefugnis von nationalen Aufsichtsbehörden. Ihnen müssen als unabhängige Instanzen die Befugnis bleiben, feststellen zu können, dass kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet sei und gegebenenfalls die Übertragung dieser Daten auszusetzen.

Folgen des Schlussantrags

Folgt der EuGH den Schlussanträgen des Generalanwalts, so wie er dies meist tut, sind die Auswirkungen nicht nur für Facebook spürbar, sondern wirkt sich auf sämtliche mehr als 4.000 Unternehmen mit Sitz in den USA aus, die sich dem Safe-Harbor-Abkommen unterworfen haben. Ihnen ist dann die Rechtsgrundlage der Übermittlung personenbezogener Daten in die USA entzogen, sodass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss. Bis ein solches umgesetzt ist, können die Betroffenen ggf. den Weg über die sog. EU-Standardvertragsklauseln oder Binding-Corporate-Rules (BCR) gehen.

Update: Den Beitrag zum Urteil des EuGH finden Sie auf dieser Website.

 

Vorhaben der Artikel 29 Datenschutzgruppe für 2014 – 2015

Die Artikel 29 Datenschutzgruppe hat am 3. Dezember 2013 ihr Programm (PDF) für die Jahre 2014 und 2015 veröffentlicht. Anlass für die Entwicklung dieses Programms ist insbesondere die Kritik des Generalanwalts Pedro Cruz Villalón an der Richtlinie zur Vorratsdatenspeicherung, die seiner Meinung nach einen Eingriff in das Grundrecht der Unionsbürger auf Achtung des Privatlebens darstellt und deshalb nicht vereinbar mit der Grundrechte-Charta der EU ist (siehe dazu den Beitrag EU-Richtlinie zur Vorratsdatenspeicherung vs. EU-Grundrechts-Charta).

Weiterlesen

EU-Richtlinie zur Vorratsdatenspeicherung vs. EU Grundrechts-Charta

Pedro Cruz Villalón, Generalanwalt am Gerichtshof der Europäischen Union, ist der Meinung, dass die Richtlinie über die Vorratsdatenspeicherung (Richtlinie 2006/24/EG) nicht vereinbar ist mit der Grundrechte-Charta der EU.

Seiner Ansicht nach stellt die Richtlinie einen Eingriff in das in der Grundrechte-Charta verankerte Recht der Unionsbürger auf Achtung des Privatlebens dar, obwohl eine solche Einschränkung der Ausübung eines Grundrechts gesetzlich vorgesehen sein müsste. Als problematisch sieht er vor allem an, dass die Daten nicht von den Behörden, sondern von den Anbietern elektronischer Kommunikationsdienste selbst gespeichert werden. Da die Richtlinie den Anbietern elektronischer und telefonischer Kommunikationsdienste eine Verpflichtung zur Erhebung und Vorratsspeicherung von Verkehrs- und Standortdaten auferlegt, handelt es sich insoweit um einen qualifizierten Grundrechtseingriff.

Weiterlesen

Trust Issues – Vertrauensprobleme in der EU …

…oder wie Safe Harbor eine (amerikanisch-europäische) Beziehung auf die Probe stellt

Die Europäische Kommission hat im November 2013 eine „Mitteilung zum Funktionieren von Safe Harbour aus der Perspektive der EU-Bürger und von in der EU ansässigen Unternehmen“ (COM(2013) 847 „on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“, Download PDF, englisch) veröffentlicht.

Auslöser waren insbesondere die diesjährigen Enthüllungen über das Ausspionieren personenbezogener Daten europäischer Politiker, die eine erhebliche Störung des Vertrauensverhältnisses zwischen der EU und den USA nach sich zogen. Dass bei der Gewinnung dieser personenbezogenen Daten Prinzipien des Safe Harbour Abkommens verletzt wurden ist kaum auszuschließen und wirft Fragen zur Sicherheit der Daten im internationalen Datenverkehr und auch Kritik an der Durchsetzung der Bedingungen des Abkommens auf, insbesondere da die Unternehmen, die am PRISM Programm beteiligt sind und die den US Behörden Zugang zu personenbezogenen Daten gewährt haben, alle am Safe Harbour Abkommen beteiligte und entsprechend zertifizierte Unternehmen waren.

Weiterlesen