Zertifizierung und der Mittelstand - Quo Vadis?

Dr. Alexander Duisberg

ist Rechtsanwalt und Partner der Kanzlei Bird & Bird LLP in München.

 

 

 

ZD 2018, 53    Die gesetzlich anerkannte Zertifizierung war bislang ein weißer Fleck auf der datenschutzrechtlichen Landkarte. Mit Einführung der Datenschutzgrundverordnung (DS-GVO) wird das Instrumentarium entscheidend erweitert. Schon jetzt zeichnen sich aber besorgniserregende Verzögerungen ab, unter denen insbesondere die kleinen und mittleren Unternehmen (KMU) erheblich leiden werden. Denn je länger die Abhilfe ausbleibt, als Verantwortliche auf Zertifikate von Diensteanbietern vertrauen zu können, desto mehr erhöhen sich auf der Zeitachse die Transaktionskosten und der eigene Aufwand der Compliance. Wenn dann noch bei den Datentransfers die Standardvertragsklauseln vor dem EuGH ins Wanken geraten, baut sich gerade der "perfect storm" am Datenschutzhimmel auf.

 

Zertifizierung nach der DS-GVO

Waren Zertifizierungen zum Nachweis der Compliance bisher ungeregelt bzw. der rein privatrechtlichen Gestaltung mit Zertifizierungsstellen überlassen (durch TÜV, WP-Gesellschaften etc.), setzt die DS-GVO nun starke Anreize zur Regelung und Durchführung von Zertifizierungen (s. Art. 42, 43 DS-GVO).

Die Zertifizierung umfasst als Obergriff Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen. Sie dient insbesondere dazu, die Einhaltung der DS-GVO-Vorgaben zu verbessern und Verantwortlichen bzw. Kunden zertifizierter Angebote einen schnellen Überblick über das vorliegende Datenschutzniveau zu ermöglichen (vgl. Erwägungsgrund 100 DS-GVO).

  • Nachweis für Compliance des Verantwortlichen und des Auftragsverarbeiters (Art. 24 und 28 DS-GVO)

Eine Zertifizierung kann als Nachweis dienen, dass der Verantwortliche seine datenschutzrechtlichen Pflichten erfüllt (Art. 24 Abs. 3 DS-GVO) und der Auftragsverarbeiter seine Garantien als Auftragsverarbeiter erbringt (Art. 28 Abs. 5 DS-GVO), insbesondere mit Blick auf technische und organisatorische Maßnahmen. Die Indizwirkung für datenschutzkonformes Verhalten bietet entscheidende Vorteile sowohl für Verantwortliche als auch Auftragsverarbeiter im Umgang mit personenbezogenen Daten.

  • Nachweis der technischen Datensicherheit (Art. 32 Abs. 3 DS-GVO)

Darüber hinaus dient die Zertifizierung der Beurteilung der technischen Datensicherheit beim Verantwortlichen oder Auftragsverarbeiter (Art. 32 Abs. 3 DS-GVO). Zertifizierungsverfahren bieten dem Verantwortlichen Hilfestellung bei der Frage, welche Sicherheitsmaßnahmen für eine datenschutzkonforme Datenverarbeitung und entsprechend für den Nachweis der Einhaltung des Stands der Technik geeignet sind (Art. 32 Abs. 1 DS-GVO).

  • Wesentlicher Bestandteil des Risikomanagements

Für den Verantwortlichen und Auftragsverarbeiter unterstützt der zertifizierte Nachweis der Einhaltung datenschutzrechtlicher Vorgaben ganz wesentlich das interne Risikomanagement. Zertifizierungen bieten damit zugleich die interne Absicherung mit Blick auf mögliche Schadensersatzhaftung, Geldbußen und andere Sanktionen für Verstöße gegen die DS-GVO (s. Art. 82 ff. DS-GVO).

  • Gleichwertige Rechtsgrundlage zur Datenübermittlung (Art. 46 Abs. 2 lit. f DS-GVO)

Eine Zertifizierung kann für die Datenübermittlung in Drittstaaten als Schutzgarantie Verantwortlichen und Auftragsverarbeitern das angemessene Datenschutzniveau absichern, wenn sie mit entsprechenden Verpflichtungserklärungen und der Absicherung der Betroffenenrechte verbunden ist (Klug, in: Gola, DS-GVO, 2017, Art. 46 Rdnr. 12). Damit wird die Zertifizierung zum "Game Changer" für Datentransfers und gleichwertige Rechtsgrundlage auf einer Ebene mit Binding Corporate Rules (BCRs), Standardvertragsklauseln und dem EU-US-Privacy-Shield.

  • Markttransparenz durch akkreditierte Zertifizierungen

Im Markt zeigt zertifizierte Datenschutzkonformität Qualität und verantwortliches Handeln des Verantwortlichen und Auftragsverarbeiters an. Der zertifizierte Compliance-Nachweis unterstreicht Kundenorientierung, Leistungsfähigkeit und Qualität für Geschäftspartner und andere Betroffene, um damit Kunden zu gewinnen und/oder neue Märkte zu erschließen. Zertifizierungen werden entsprechend positive Markteffekte zugeschrieben (s.a. Bergt, in: Kühling/Buchner, DS-GVO, 2017, Art. 42 Rdnr. 4).

 

Stand der Entwicklung der Zertifizierung nach Art. 42, 43 DS-GVO

Sowohl in Deutschland als auch auf EU-Ebene laufen die Vorbereitungen zur Entwicklung von Zertifizierungsstandards. Aber das Thema ist komplex und die Zeit läuft den Beteiligten nach allem Eindruck davon. So steht derzeit in Frage, ob bzw. ab wann nach dem 25.5.2018 gesetzlich anerkannte Zertifizierungsangebote im Markt zur Verfügung stehen.

  • Trusted Cloud als Ursprung der europäischen Datenschutz-Zertifizierung

In Deutschland hat das von Prof. Dr. Georg Borges erfolgreich durchgeführte Pilotprojekt "Datenschutz-Zertifizierung für Cloud-Dienste" 2015 mit dem "Trusted Cloud Datenschutz-Profil für Cloud-Dienste" den Weg maßgeblich vorbereitet (TCDP). Es ermöglicht Anbietern von IT-Diensten, ihre Cloud-Dienste (auf vertraglicher Grundlage) nach dem BDSG zu zertifizieren. Auf Betreiben der Bundesregierung hat der Rat der EU die Datenschutz-Zertifizierung in die Verhandlungen zur DS-GVO eingebracht. Das Konzept der Datenschutz-Zertifizierung und das Rahmenwerk haben in Art. 42, 43 DS-GVO nahezu 1:1 ihren Niederschlag gefunden.

Die TCDP-Version vom September 2016 wurde bereits mit Blick auf die DS-GVO angelegt. Sie sieht sich "eingebettet in das Ziel einer europäischen Datenschutz-Zertifizierung auf gesetzlicher Grundlage" und will die Grundlagen für die Ausgestaltung einer DS-GVO-Zertifizierung ausarbeiten (TCDP, Version 1.0, Kap. I.4.). Die Verfahrensordnung des TCDP ist ebenfalls darauf angelegt, dass bestehende TCDP-Zertifikate durch eine Überleitungszertifizierung möglichst lückenlos durch eine Zertifizierung nach DS-GVO-basiertem Standard abgelöst werden (§ 6.1).

Weitere Anpassungen an die DS-GVO sind nun erforderlich, die das im November 2017 gestartete Projekt "European Cloud Service Data Protection Certification" unter der Leitung von Prof. Dr. Alexander Roßnagel aufgreift. Das Projekt wird bis Mai 2018 einen Kriterienkatalog für die EU-weite Zertifizierung von Cloud-Diensten nach der DS-GVO entwickeln. Der grundlegende Ansatz der modularen Zertifizierung und Auditierung wird weiter spezifiziert und ausgebaut (s. ausf. Roßnagel/Sunyaev et al., ZD-Aktuell 2017, 05900).

  • Entwicklungen in der EU

Nach einem Beschluss der Art. 29-Datenschutzgruppe hält die französische Datenschutz-Aufsichtsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) die Federführung bei der Entwicklung EU-weiter Zertifizierungsstandards nach Art. 42, 43 DS-GVO. Bislang wurde allerdings noch kein Standard oder Zertifizierungsverfahren verabschiedet.

 

Akkreditierungsstandards der DAkkS

Die Deutsche Akkreditierungsstelle (DAkkS) besitzt in Deutschland die alleinige Zuständigkeit im Bereich der Akkreditierung. Bislang existiert kein von der DAkkS akkreditierter datenschutzspezifischer Zertifizierungsstandard.

  • Zertifizierung von Informationssicherheits-Managementsystemen

Die Datenschutzkonformität kann ansatzweise allenfalls i.R.d. ISO/IEC 27001 zertifiziert werden. Dieser Standard adressiert im Kern Informationssicherheits-Managementsysteme und damit gerade nicht die Datenschutzkonformität als solche. Immerhin hat die DAkkS in ihrer jüngsten "Regel zur Prüfung der Feststellung der Akkreditierungsfähigkeit neuer privater Konformitätsbewertungsprogramme" vom 14.12.2017 erklärt, dass sie in Zukunft alternative Standards zur Zertifizierung von Bereichen anerkennt, die dem ersten Anschein nach als IT-Managementsysteme gelten (Ziff. 4.2.1). Die Nichtanwendung der ISO/IEC 27001 ist dann lediglich gesondert zu begründen.

Inhaltlich bestimmt die ISO/IEC 27001 die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung von Informationssicherheits-Managementsystemen in Unternehmen. Sie legt darüber hinaus die Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken nach den konkreten Bedürfnissen des Unternehmens fest (Kap. 1, S. 6). Der Zweck von Informationssicherheits-Managementsystemen ist es, Daten und Informationen im Unternehmen zu schützen und so einen kontinuierlichen Geschäftsbetrieb zu gewährleisten.

  • Zertifizierung von Datenschutzprodukten

Die ISO/IEC 17067 regelt einerseits die Zertifizierung von Produkten und beschreibt andererseits die Leitlinien für die Entwicklung und Durchführung von Programmen zur Produktzertifizierung. Das Produkt als Bewertungsgegenstand wird in der Norm sehr weit gefasst und umfasst insbesondere auch Dienstleistungen und Prozesse (Einleitung, S. 6). Die ISO/IEC 17067 ist auf Grund ihres weiten Anwendungsbereichs somit zur Zertifizierung datenschutzrechtlicher Prozesse in Unternehmen geeignet.

Auf Grundlage der ISO/IEC 17067 kann ein Unternehmen datenschutzspezifische Strukturen unmittelbar adressieren und anhand der festgelegten Anforderungen der DS-GVO überprüfen. Die Prüfung schließt dabei informationssicherheitsrechtliche Themen nicht aus (vgl. Art. 32 Abs. 3 DS-GVO). Im Unterschied zur ISO/IEC 27001 (i.V.m. ISO/IEC CD 27552, s.u.) kann ein nach der ISO/IEC 17067 akkreditiertes Zertifizierungsprogramm einen auf den Datenschutz fokussierten und damit kostengünstigeren Ansatz verfolgen.

 

Werden die KMU vergessen?

Die ISO/IEC 27001 beansprucht, auf alle Unternehmen anwendbar zu sein, ungeachtet ihrer Art und Größe (Einleitung, S. 6). Mit Blick auf die Kosten einer Zertifizierung nach ISO/IEC 27001 - sie liegen typischerweise im Bereich von  25.000,- bis 40.000,- - wird den KMU aber eine Zertifizierung erheblich erschwert und könnte für kleinere Unternehmen an den Kosten scheitern. Die datenschutzrechtliche Zertifizierung darf aber nicht an den KMU vorbeigehen bzw. i.E. nur den großen bzw. finanziell leistungsstarken Unternehmen offenstehen.

In der internationalen Diskussion (etwa i.R.d. IAPP-Konferenz im November 2017) zeichnet sich ab, dass dieser Zustand einstweilen bestehen bleibt. So soll die ISO/IEC 27001 zwar durch die ISO/IEC CD 27552 um Datenschutzthemen erweitert werden. Die ISO/IEC CD 27552 ist aber kein isoliert zertifizierbarer Standard. Es ist zu befürchten, dass die KMU von Aufträgen der Großindustrie ausgeschlossen werden könnten, wenn diese in Zukunft den Nachweis datenschutzrechtlicher Zertifizierungen in ihren Ausschreibungen verlangen.

Für KMU ist es mithin von herausragender Bedeutung, die Datenschutzkonformität ihrer Produkte und Dienstleistungen auch außerhalb der ISO/IEC 27001, z.B. auch über einen produktbasierten Ansatz, zertifizieren zu können. Nicht umsonst hat die DS-GVO das ausdrückliche Ziel formuliert, "die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen" (vgl. etwa Erwägungsgrund 13 DS-GVO). So bietet etwa die ISO/IEC 17067 den KMU angesichts ihres weiten Anwendungsbereichs ("Dienstleistungen oder Prozesse") die Möglichkeit einer datenschutzrechtlichen Zertifizierung. Aus wirtschaftlicher Sicht ist eine solche Zertifizierung dringend zu wünschen, damit die KMU ab dem 25.5.2018 nicht abgehängt werden. Mit entsprechend sorgfältiger Begründung (vgl. oben) sollte es möglich sein, dass neue Datenschutzstandards auf Grundlage der ISO/IEC 17067 entstehen.


Der Countdown läuft - in vier Monaten endet die Übergangsfrist

Barbara Thiel

 ist die Landesbeauftragte für den Datenschutz Niedersachsen. Im Jahr 2017 war sie Vorsitzende der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK).

 

 

 

ZD 2018, 1   Jyn Schultze-Melling wagte vor einem Jahr in der Januar-Ausgabe der ZD die Prognose, dass das Jahr 2017 ebenso anspruchsvoll und spannend wie das Jahr 2016 werden würde. Aus Sicht einer Datenschutzaufsichtsbehörde lässt sich dies uneingeschränkt bestätigen. 2017 war ein Jahr voller datenschutzrelevanter Ereignisse, und es war für uns Datenschutzbehörden zugleich ein arbeitsreiches Jahr. Die Vorbereitungen auf die ab Mai 2018 anzuwendende Datenschutzgrundverordnung (DS-GVO) dürften zudem nicht nur uns, sondern auch die Unternehmen in besonderer Weise gefordert haben.

Blicken wir kurz zurück: Als 2016 die DS-GVO am 25. Mai in Kraft trat, waren die Reaktionen auf das neue europäische Recht mehr als unterschiedlich. Auch heute noch gibt es nicht nur Befürworter dieser Datenschutzreform. Dabei ist doch eine Tatsache unumstößlich: Im digitalen Zeitalter kann Datenschutz nicht mehr mit nationalen Insellösungen durchgesetzt werden. Das neue europäische Recht weist uns deshalb den richtigen Weg. Mit der DS-GVO wird ein (weitgehend) einheitlicher europäischer Rechtsrahmen für den Datenschutz in der digitalen Welt gesetzt, mit dem gleiche Wettbewerbsbedingungen, mehr Rechtssicherheit und leichtere Rechtsdurchsetzbarkeit geschaffen werden. Ohne Frage: Vieles wird besser, so z.B. durch die Einführung des Marktortprinzips, das europaweit zu faireren Wettbewerbsbedingungen führen wird, durch klare Regelungen zur Zusammenarbeit der Aufsichtsbehörden verbunden mit einem Letztentscheidungsrecht des Europäischen Datenschutzausschusses und last but not least durch einen gestärkten Vollzug angesichts von Sanktionen, die tatsächlich "weh tun werden" (Stellungnahme des LIBE-Ausschusses v. 11.6.2015).

Eines aber wird die europäische Datenschutzreform nicht erreichen können: die Vereinfachung der Rechtsanwendung. Den nationalen Gesetzgebern wurde über sog. Öffnungsklauseln (oder Spezifikationen nach europäischer Lesart) die Möglichkeit eröffnet, Sonderregelungen zu schaffen, die die Einheitlichkeit durchbrechen können. Mit dem neuen Bundesdatenschutzgesetz (BDSG 2018) hat der deutsche Gesetzgeber diesen Gestaltungsspielraum sehr weitgehend genutzt. Das neue Recht wird komplexer, und auf die Adressaten des neuen Datenschutzrechts, so vor allem Unternehmen und Datenschutzbehörden, kommt ab Mai 2018 die Aufgabe zu, sich die datenschutzrechtlichen Anforderungen einerseits aus dem europäischen Recht, also der DS-GVO, und andererseits aus dem nationalen Recht, in Deutschland dem neuen BDSG, zu erschließen. Es wird also künftig immer ein „Pendelblick“ erforderlich sein, um die Rechtsgrundlagen auf den konkreten Fall anzuwenden.

Und die Kritik geht noch einen Schritt weiter: Einige der Regelungen des BDSG 2018 senken das Datenschutzniveau gegenüber der DS-GVO und schränken z.B. die Betroffenenrechte stärker ein, als dies von der DS-GVO vorgesehen ist. Und darüber hinaus bestehen Zweifel, ob tatsächlich jede Regelung im BDSG 2018 auf das Vorhandensein einer Öffnungsklausel zurückgeht. Die Forderungen, die die Datenschutzbehörden über Änderungsanträge der jeweiligen Landesinnenministerien in die Beratungen des Bundesrats eingebracht hatten, wie z.B. hinsichtlich der Regelung zu den Berufsgeheimnisträgern, der Einschränkungen bei den Betroffenenrechten oder der Verarbeitung besonderer Kategorien personenbezogener Daten, sind im Wesentlichen unberücksichtigt geblieben. Insbesondere im Anwendungsbereich der Öffnungsklauseln der DS-GVO fällt den Aufsichtsbehörden damit ab dem 25.5.2018 die Aufgabe zu, europäisches und nationales Recht in Einklang zu bringen und die Vorschriften des BDSG 2018 nach Möglichkeit europarechtskonform auszulegen; nur in den Fällen, in denen der Normenkonflikt nicht aufgelöst werden kann, wird auf den Anwendungsvorrang des europäischen Rechts zurückzugreifen sein. Nach Auffassung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) kommt der Anwendungsvorrang vor allem bei „eindeutigen offensichtlichen Fällen“ in Betracht und ist dann aber auch unausweichlich.

Unternehmen in Deutschland bleibt nun nicht mehr viel Zeit, um die Anforderungen der DS-GVO umzusetzen und in den Unternehmensalltag zu integrieren. Umso überraschender sind die Ergebnisse einer IDC-Umfrage im Oktober 2017 unter 251 Unternehmen und Organisationen in Deutschland mit mehr als 20 Mitarbeitern. 44% der befragten Unternehmen haben angegeben, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DS-GVO getroffen haben. Wochen zuvor hatte schon der Branchenverband Bitkom festgestellt, dass sich zum damaligen Zeitpunkt jedes dritte Unternehmen noch nicht mit der DS-GVO beschäftigt hatte.

Es gab im vergangenen Jahr vielfältige Aktivitäten, um die Unternehmen für die notwendige Umstellung zu sensibilisieren. Neben einer Vielzahl von Veranstaltungen und Vortragstätigkeiten der einzelnen Datenschutzbehörden sind hier vor allem die zwölf sog. Kurzpapiere der DSK zu nennen, die seit Ende Juni 2017 sukzessive veröffentlicht wurden. Diese Kurzpapiere, gedacht als Auslegungshilfen zum neuen Datenschutzrecht, dienen als erste Orientierung und sollen aufzeigen, wie die DS-GVO nach Auffassung der DSK im praktischen Vollzug angewendet werden sollte. Sie sind bei den Unternehmen auf großes Interesse gestoßen; die Resonanz auf diese gemeinsame Aktion aller Datenschutzbehörden mit dem Ziel, eine einheitliche Sichtweise zu kommunizieren, war durchweg positiv. Zur Halbzeit auf dem Weg zur DS-GVO hat die DSK in einem 10-Punkte-Papier Anregungen für Unternehmen zur Vorbereitung auf die DS-GVO zusammengestellt.

Einzelne Datenschutzbehörden haben darüber hinaus mit ihren Informationsoffensiven anhand konkreter Fragestellungen zugleich deutlich gemacht, nach welchen Kriterien die Aufsichtsbehörden ab Mai 2018 prüfen und kontrollieren werden. So hatte das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) schon zur „Halbzeit“ auf dem Weg zum europäischen Datenschutzrecht ca. 150 bayrischen Unternehmen einen Prüffragebogen zugeschickt. Ziel war es u.a., Unternehmen und Verbänden zu signalisieren, welche Anforderungen die DS-GVO stellt. Die Datenschutzbehörden von Brandenburg, Bremen, Hessen, Niedersachsen und Nordrhein-Westfalen sind Ende Oktober dem guten Beispiel Bayerns gefolgt und haben unter der Überschrift „Nur noch 6 Monate bis zur Anwendung der DS-GVO!“ vor allem kleinen und mittleren Unternehmen Hilfestellungen zur Umsetzung des neuen Datenschutzrechts an die Hand gegeben. Und seit dem 25.11.2017 bieten sowohl das BayLDA als auch die Datenschutzbehörden von Niedersachsen, Nordrhein-Westfalen und dem Saarland (Stand: Anfang Dezember 2017) einen Online-Test für Unternehmen und andere Verantwortliche an, durch den diese in einer spielerischen Datenschutz-Reise quer durch die EU selbst prüfen können, wie weit sie auf dem Weg zur Erfüllung der gesetzlichen Anforderungen schon fortgeschritten sind.

Aber nicht nur auf die Unternehmen, auch auf die Aufsichtsbehörden kommen neue Herausforderungen zu. Ihre Aufgabe wird es in Zukunft sein, europäisches Recht auf nationaler Ebene anzuwenden und durchzusetzen. Mit der DS-GVO wurde ein gutes Fundament für die Arbeit der Datenschutzbehörden geschaffen. Wir sind nun aufgefordert, den vorgegebenen Rechtsrahmen konsequent auszuschöpfen und anzuwenden. Zahlreiche Rechtsfragen sind ungeklärt, und viele Begriffe eröffnen Interpretationsspielräume. Hier obliegt es den Datenschutzbehörden, die Vorschriften in der Praxis handhabbar zu machen und mit Leben zu füllen. Ohne Zweifel ist damit den Aufsichtsbehörden mehr Macht zugestanden worden, und deren Tätigkeit wird mitentscheidend dafür sein, inwieweit die DS-GVO ihr Ziel eines wirksam gelebten Datenschutzes tatsächlich erreichen kann. Viele der ungeklärten Rechtsfragen werden, davon ist auszugehen, auch die Gerichte und auch den EuGH beschäftigen.

Bei alledem wird es auch darum gehen müssen, eine Balance zwischen den wirtschaftlichen Interessen der datenverarbeitenden Unternehmen einerseits und den im Grundgesetz verankerten Persönlichkeitsrechten der Betroffenen andererseits herbeizuführen. Ein Austausch zwischen Aufsichtsbehörden und Unternehmen auf verschiedenen Ebenen - branchenübergreifend, aber auch branchenspezifisch - könnte hier für mehr Transparenz und gegenseitiges Verständnis sorgen.

Themen wie Datenschutz-Folgenabschätzung, Zertifizierung und Akkreditierung oder die neue Welt der sehr weit reichenden Sanktionsmöglichkeiten haben die DSK schon in 2017 beschäftigt und werden sie auch in 2018 weiter beschäftigen. Besteht die Möglichkeit, eine Empfehlung zur Methodik bei der Datenschutz-Folgenabschätzung abzugeben, wird es Formen der Zusammenarbeit bei der Akkreditierung geben und wie werden die Aufsichtsbehörden vorgehen, wenn die ersten Geldbußen festgesetzt werden müssen? Hier wie auch in anderen Fragestellungen bleibt zudem abzuwarten, welche Positionierungen auf der europäischen Ebene durch die Art. 29-Datenschutzgruppe und später durch den Europäischen Datenschutzausschuss erfolgen werden.

Die DS-GVO hält darüber hinaus für die Aufsichtsbehörden eine besondere neue Herausforderung bereit: die Pflicht zur Zusammenarbeit auf EU-Ebene. Es ist ein erklärtes Ziel des europäischen Gesetzgebers, dass das neue Datenschutzrecht einheitlich in der gesamten EU angewendet und durchgesetzt wird. Bei Datenverarbeitungen, die nicht nur einen Mitgliedstaat betreffen, wird in Zukunft eine enge Zusammenarbeit aller betroffenen Aufsichtsbehörden erforderlich sein. Die Datenschutzbehörden sind also in Zukunft verpflichtet, sich abzustimmen und gemeinsame Lösungen zu finden. Das Kooperationsverfahren, aber auch das Kohärenzverfahren, das in den Fällen, in denen kein Konsens erzielt werden kann, zur Anwendung kommt, haben ohne Zweifel entscheidende Auswirkungen auf die Arbeitsweise der Aufsichtsbehörden, zumal in vielen Fällen zeitlich enge Fristen zu beachten sein werden. Dennoch ist dieser Zwang zur Zusammenarbeit zu begrüßen, denn nur so sprechen die Datenschutzaufsichtsbehörden tatsächlich mit einer Stimme. Dies stärkt unsere Tätigkeit und damit den Datenschutz in Europa.

Aber auch auf der nationalen Ebene müssen wir zu einer Zusammenarbeit finden, die schnell und produktiv Lösungen hervorbringt, die im besten Falle von allen deutschen Aufsichtsbehörden getragen werden. Seit etlichen Monaten arbeitet die DSK intensiv an den Anforderungen, die an eine solche Zusammenarbeit zu stellen sind. Bei allen Schwierigkeiten, die damit verbunden sind, sind wir uns aber darüber im Klaren, dass wir zu Lösungen kommen müssen. Denn eines dürfen wir mit Sicherheit voraussetzen: Uneinigkeit in Deutschland schwächt unseren Einfluss in Europa.

Alles in allem bleibt zu sagen: Wir alle sehen in den kommenden Monaten und Jahren großen Herausforderungen entgegen. Mit der Digitalisierung hat sich die Welt verändert und sie wird sich in den nächsten Jahren noch rasanter entwickeln. In der Diskussion, welcher Wert Datenschutz in einer digitalisierten Welt zukommt, stehen wir erst am Anfang. Die Digitalisierung eröffnet wirtschaftliche und gesellschaftspolitische Chancen. Aber mit ihr gehen auch erhebliche Risiken für die Persönlichkeitsrechte der Menschen einher. Datenschutz ist Grundrechtsschutz und darf deshalb nicht als Hindernis für die Digitalisierung betrachtet werden. Er muss vielmehr als integraler und förderlicher Bestandteil politischer, wirtschaftlicher und gesellschaftlicher Fortentwicklung verstanden und gelebt werden. Mit diesem Anspruch haben die Datenschutzbehörden zu Beginn der neuen Legislaturperiode elf handlungsorientierte Grundforderungen formuliert und an Bundestag und Bundesregierung gerichtet. Ziel dieser Grundforderungen ist es, das Datenschutzrecht weiterzuentwickeln und seine Durchsetzung und Akzeptanz zu fördern. Es bleibt zu hoffen, dass der Appell der DSK nicht ungehört verhallt!


Die ePrivacy-Verordnung zwischen Trilog und Ungewissheit

Dr. Malte Engeler

ist Richter und beim Schleswig-Holsteinischen Verwaltungsgericht tätig.

 

 

 

ZD 2017, 549   Die Bemühungen um die ePrivacy-VO haben mindestens in einer Hinsicht nicht enttäuscht: Wie erwartet haben sie für eine Diskussion gesorgt, die in Sachen Leidenschaft dem Ringen um die DS-GVO kaum nachsteht. Bereits der im Januar vorgestellte Entwurf der Kommission bot Verbraucherschützern, Digitalwirtschaft und Aufsichtsbehörden sowie Stimmen aus der Literatur (s. Engeler/Felber, ZD 2017, 251) reichlich Anlass zur hitzigen Debatte. Sei es das unklare Verhältnis zur DS-GVO, unbestimmte Begriffe oder Umsetzungsprobleme in der Praxis: Die handwerklichen und inhaltlichen Unstimmigkeiten haben viele Kritiker vereint. Bei den daraus gezogenen Schlüssen ging der Konsens freilich nicht mehr ganz so weit: Die Spannbreite der Forderungen reichte von einer Verschärfung der Regulierung über bloße Detailanpassungen bis zur grundsätzlichen Infragestellung.

Vor diesem Hintergrund votierte der federführende Innen- und Justizausschuss des Europäischen Parlaments unter der Abgeordneten Lauristin als Berichterstatterin im Oktober 2017 mit denkbar knapper Mehrheit für einen neuen Entwurf, der kurz darauf mit klarer Mehrheit durch das Parlament bestätigt wurde (s. Bericht v. 23.10.2017, Dok. A8-0324/2017 im Informationssystem des Europäischen Parlaments). Damit ist nun das Mandat für den Trilog zwischen Rat, Europäischem Parlament und EU- Kommission erteilt. Offen ist noch die allgemeine Position des Rates und natürlich die Position Deutschlands unter einer möglichen Jamaika-Koalition. Dieser Umstand und die Erfahrungen mit den Veränderungen, die die DS-GVO in ihrer Trilog-Phase erfahren hat, machen es weiterhin schwer abschätzbar, in welcher Fassung die finale Verordnung im Amtsblatt veröffentlicht werden wird.

Ein Vergleich des Lauristin-Entwurfs mit dem der Kommission wird zwar dadurch erschwert, dass es bisher keinen offiziellen konsolidierten Text gibt. Ein genauer Blick in die Veränderungen zeigt aber, dass der neue Entwurf in Detailfragen durchaus auf bisherige Kritikpunkte einzugehen versucht. So verweist er hinsichtlich der Definition vieler Kernbegriffe nicht mehr auf den Entwurf des Kodex für die elektronische Kommunikation (2016/0288 COD), sondern integriert diese in seinen neugefassten Art. 4. Auch bemüht er sich um eine stringentere Verknüpfung zwischen grundrechtlicher Zielsetzung und konkreter Regulierung. Ausweislich seines unveränderten Art. 1 versteht sich die ePrivacy-VO weiterhin als Regelung zur Umsetzung von Art. 7 und Art. 8 GRCh und knüpft zentral an den Begriff des personenbezogenen Datums an. Während diese Anknüpfung im Kommissionsentwurf jedoch vielfach lückenhaft blieb und insbesondere in Bezug auf die Verarbeitung von Maschinendaten schwer nachzuvollziehen war, hat der Lauristin-Entwurf den insofern kritischen Erwägungsgrund 12 zwar nunmehr gestrichen, behandelt die Maschinenkommunikation in einer Ergänzung der Definitionen in Art. 4 Abs. 3 allerdings weiterhin als Unterfall der elektronischen Kommunikationsdienste. So sehr diese ansatzweise Klarstellung aus systematischen Gründen zu begrüßen ist, bleibt es damit doch bei dem altbekannten Streit um das personenbezogene Datum. Die Frage, ob die Kommunikation i.R.v. Smart Home, IoT und Connected Devices im Einzelfall unter die Verordnung fällt oder nicht, wird je nach Auslegung der Reichweite des Schutzbereichs von Art. 7 und Art. 8 GRCh also weiterhin ganz unterschiedliche Ansichten hervorbringen.

Gleichermaßen zwiespältig gerät der Versuch, das Konkurrenzverhältnis zwischen ePrivacy-VO und DS-GVO klarzustellen. Der angepasste Erwägungsgrund 5 spricht weiterhin davon, dass die DS-GVO präzisiert und ergänzt werden soll. Den üblichen Grundsätzen der Gesetzeskonkurrenz folgend führt das Schweigen der ePrivacy-VO somit grundsätzlich zum Rückgriff auf die DS-GVO. Im Kommissionsentwurf wurde dieser Grundsatz in Einzelfragen allerdings dadurch durchbrochen, dass sich die ePrivacy-VO hinsichtlich einzelner Überschneidungen veranlasst sah, die Anwendung der DS-GVO noch einmal deutlich zu betonen. Der neue Entwurf hilft hier nur teilweise ab. Auch im neuen Art. 9 Abs. 1 werden die Vorgaben der DS-GVO zur Einwilligung ausdrücklich in Bezug genommen, während andere Bereiche der DS-GVO nicht konkret angesprochen werden. Damit stellt sich nach wie vor die Frage, ob und wann aus dem Schweigen der ePrivacy-VO möglicherweise im Umkehrschluss eine verdrängende Wirkung abgeleitet werden muss. Dies war im Kommissionsentwurf u.a. bei der Auftragsdatenverarbeitung relevant, hinsichtlich der lediglich auf die Begriffsbestimmung des Art. 4 Nr. 7 und Nr. 8 DS-GVO Bezug genommen wurde, nicht jedoch auf die formellen Vorgaben des Art. 28 DS-GVO. Es wäre also durchaus streitbar gewesen, ob etwa Webseitenbetreiber beim Auslagern ihrer Reichweitenanalyse auf Dienstleister einen formellen Auftragsdatenverarbeitungsvertrag hätten abschließen müssen. Diesem Umstand begegnet der neue Entwurf zwar damit, dass er im erweiterten Art. 8 Abs. 1 lit. d ausdrücklich darauf hinweist, dass Reichweitenanalysen auch im Wege der Auftragsverarbeitung gemäß DS-GVO durchgeführt werden können. An dem grundsätzlichen Problem ändert dies aber so lange nichts, wie der neue Entwurf den Art. 9 Abs. 1 unverändert lässt. Der dortige Hinweis ist und bleibt im Grunde überflüssig, da nach eigenem Verständnis der ePrivacy-VO die DS-GVO ohnehin als allgemeine Regelung anwendbar bleibt. Der ausdrückliche Verweis auf die Vorgaben der Einwilligung und das Schweigen über andere Bereiche der DS-GVO bleibt damit ein Stolperstein.

Der größte Diskussionspunkt bleibt aber die grundsätzliche Herangehensweise der ePrivacy-VO an die Rechtmäßigkeit der Datenverarbeitung. Wie schon der Kommissionsentwurf setzt auch der Lauristin-Entwurf im Schwerpunkt auf zwei regulatorische Ansätze: den Erforderlichkeitsgrundsatz und die Einwilligung. Verarbeitet werden darf in aller Regel nur, was technisch erforderlich ist, um den gewünschten Dienst zu nutzen. Zur Betonung ergänzt der neue Entwurf u.a. den Art. 8 Abs. 1 lit. c ausdrücklich noch einmal um den Zusatz "strictly". Ungeachtet der Frage, welcher Unterschied zwischen normaler und strenger Erforderlichkeit besteht, sind weder Erforderlichkeit noch Einwilligung besonders gelungene Anknüpfungspunkte für die Regulierung digitaler Dienste. Welche Datenverarbeitungen für die Nutzung bestimmter Dienste erforderlich sind, bestimmen vielfach vorgegebene technische Standards sowie die Nutzungsbedingungen, deren Inhalt sie digital umsetzen. Je nach Lesart droht der Erforderlichkeitsbegriff damit entweder leerzulaufen oder er bedingt eine technische Umsetzung mit nur sehr rudimentärem funktionalen und optischen Anspruch. Statt nun konkrete Vorgaben im Verordnungstext aufzunehmen, verweist der Entwurf für alles, was über spartanischen Minimalismus hinausgeht, weitgehend auf die erforderliche Einwilligung der Nutzer. Egal, ob im Bereich des Offline-Tracking oder von Online-Diensten: Es braucht nicht viel Fantasie, um sich vorzustellen, dass insbesondere große Handelsketten, Betreiber von Hotspots oder Kundenkarten-Anbieter hinsichtlich des Offline-Tracking sowie die bekannten Netzgiganten die Einzigen sein werden, die überhaupt in der Lage sind, flächendeckend Einwilligungen einzuholen. Damit begünstigt der Entwurf letztlich die Position einzelner großer Anbieter und führt zu einer Konzentration der Datenverarbeitung bei zentralen Stellen, anstelle mittels bindender Vorgaben für alle Beteiligten gleiche Bedingungen zu schaffen.

Der neue Entwurf bringt damit eine altbekannte Schieflage des Datenschutzdiskurses ans Tageslicht: den Fokus auf Transparenz und die Einwilligung als Rechtsgrundlage. Tim Wu, US-amerikanischer Rechtsanwalt und Professor an der Columbia Law School, twitterte kürzlich: "Transparenz als Heilmittel ist in der Regel nur ein Ersatz dafür, tatsächlich etwas zu tun". Indem er die Interventionslast überwiegend auf die Betroffenen verlagert, steigert der neue Entwurf eben nicht zwingend den Schutz der Nutzer, sondern stärkt primär diejenigen Stellen, die auf Grund ihrer hervorgehobenen Marktstellung ohnehin schon im Rahmen ihrer bestehenden Beziehungen in der Lage sind, Einwilligungen einzuholen. Als Ausgleich dafür sieht der neue Entwurf deshalb mit dem neuen Art. 8 Abs. 1a die wohl kontroverseste neue Einzelregelung vor: eine Entsprechung zum sog. Kopplungsverbot aus Art. 7 Abs. 4 DS-GVO. Der neue Entwurf sieht darin vor, dass Diensteanbieter den Zugang zu ihren Leistungen nicht deshalb ablehnen dürfen, weil Nutzer nicht in Datenverarbeitungen einwilligen, die über das für die Nutzung des Dienstes erforderliche Maß hinausgehen. Wie auch das sog. Kopplungsverbot des Art. 7 Abs. 4 DS-GVO wird dieses neue "Recht auf eine datensparsame Alternative" aber erst noch beweisen müssen, inwiefern es gegenüber bewusst gestalteten Nutzungsbedingungen standhalten kann. Was technisch erforderlich ist, folgt eben nicht aus einer typisierten Betrachtung, sondern aus der (oft einseitig vorgegebenen) konkreten Gestaltung der Nutzungsbedingungen (demnächst ausführlich Engeler in ZD 2018). Vor diesem Hintergrund bedarf es nicht immer höherer Anforderungen an die Wirksamkeit der Einwilligung, sondern konkreter inhaltlicher und technischer Vorgaben für die Gestaltung digitaler Dienstleistungen. Ähnlich der Klauselregulierung durch das AGB-Recht ließen sich so verbindliche und alle Marktteilnehmer gleichermaßen treffende Grenzen aufstellen. Die seit 2015 diskutierte Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte (2015/0287 COD) wäre dafür ein denkbarer Ort, verweist aber lediglich darauf, dass es für die Rechtmäßigkeit der Datenverarbeitung in Verträgen über digitale Inhalte einzig auf die DS-GVO ankommen soll. So dreht sich die Regulierung im Kreis.

Während der neue Entwurf also in zentralen Punkten weiter für Debatten sorgt, wird ein Szenario immer wahrscheinlicher: Die DS-GVO wird im Mai 2018 ohne eine begleitende ePrivacy-VO starten. Denn ihr angepasster Art. 29 Abs. 2 fasst nur noch einen Geltungsbeginn ein Jahr nach Inkrafttreten ins Auge. Damit steht eine Rechtslage bevor, in der die datenschutzrechtlichen Herausforderungen der digitalen Kommunikation einzig mit der allgemeinen DS-GVO gelöst werden müssen. Solch ein Schwebezustand zwischen der Unbestimmtheit der DS-GVO und der am Horizont sichtbaren ePrivacy-VO dürfte nicht weniger als ein Durchsetzungs- und Vollzugsvakuum zur Folge haben. Dieses Szenario lädt natürlich zu dem Gedankenspiel ein, was wäre, wenn es tatsächlich bei der DS-GVO bliebe. Als durchweg unverzichtbar hat sich die ePrivacy-VO in vielen Kernpunkten jedenfalls noch nicht erwiesen. Wo die DS-GVO mit dringend nötigen Reformen, wie etwa zur europaweiten Abstimmung der Aufsichtsbehörden, ihren Mehrwert nicht mehr begründen muss, hat die ePrivacy-VO im Laufe des Trilogs noch einiges an Überzeugungsarbeit zu leisten. Als durchweg unverzichtbar hat sich die ePrivacy-VO in vielen Kernpunkten jedenfalls noch nicht erwiesen. Wo die DS-GVO mit dringend nötigen Reformen, wie etwa zur europaweiten Abstimmung der Aufsichtsbehörden, ihren Mehrwert nicht mehr begründen muss, hat die ePrivacy-VO im Laufe des Trilogs noch einiges an Überzeugungsarbeit zu leisten.