Telemediengesetz, EU-Datenschutz, Privacy Shield: Neue Anforderungen an Unternehmen

Auf Unternehmen rollen zurzeit umfassende neue Herausforderungen im Bereich Datenschutz und Datensicherheit zu. Die EU hat Ende Juni trotz massiver Proteste der IT-Verbände die umstrittene Datenschutz-Grundverordnung verabschiedet. Kurz darauf trat auch das Nachfolgeabkommen für „Safe Harbor“ unter dem Namen „Privacy Shield“ in Kraft, um die Nutzung amerikanischer Dienste wieder rechtskonform zu gestalten. Hinzu kommt das deutsche IT-Sicherheitsgesetz, das bereits vor einem Jahr verabschiedet wurde. Es löste unter anderem Änderungen im Telemediengesetz aus, die weiterhin für Unklarheiten und Konfusion in Unternehmen sorgen – sofern sie überhaupt bekannt sind.

 

 

Telemediengesetz: Was ist der „Stand der Technik“ von Web-Angeboten?

Lambert Grosskopf, Bremer Fachanwalt für IT-Recht sowie für Urheber- und Medienrecht, sieht die Änderung des Telemediengesetzes aktuell als relevanteste Neuerung. §13 Abs. 7 des Gesetzes verlangt jetzt, dass Web-Angebote nach dem aktuellen Stand der Technik gebaut werden müssen. Damit sollen die Anbieter von Internetdiensten verpflichtet werden, immer auf die aktuell sichersten Technologien zu setzen. Das Problem: „Keiner weiß genau, was der Stand der Technik ist“, bemängelt Grosskopf.

Mit diesem Dilemma hat sich auch der Teletrust Bundesverband IT-Sicherheit e.V. auseinandergesetzt und eine „Handreichung“ erarbeitet, die den Anwendern und Anbietern von Web-Diensten eine Hilfestellung zur Bestimmung des Standes der Technik geben soll. Sie kann hier heruntergeladen werden. Der am 1. September 2016 stattfindende 6. Bremer IT-Sicherheitstag beschäftigt sich mit der Frage, was unter dem Stand der Technik zu verstehen ist.

Das IT-Sicherheitsgesetz stellt darüber hinaus zusätzliche Anforderungen an die Betreiber von sogenannten kritischen Infrastrukturen. Geschätzt sind das rund 2000 Unternehmen in Deutschland aus Branchen wie Energie, Luftfahrt, Logistik und Gesundheit. Diese müssen nicht nur bei Web-Diensten, sondern in allen Fragen der IT-Sicherheit den Stand der Technik einhalten. Wer ein solches Unternehmen als IT-Kunden hat, ist von diesen Regelungen also ebenfalls betroffen.

„Privacy Shield“: Zweifelhafte Rechtssicherheit

Das Abkommen „Privacy Shield“ soll die Rechtssicherheit im Datenverkehr zwischen der EU und den USA wiederherstellen, nachdem der Vorgänger „Safe Harbor“ im Oktober 2015 vom Europäischen Gerichtshof gekippt worden war. Daten, die Unternehmen auf Basis des Privacy Shields in die USA übermitteln, sollen dort einen Schutz genießen, der dem europäischen Standard gleichwertig ist.

„Datenverarbeitende Unternehmen mit Servern in den USA müssen sich zur Einhaltung wesentlicher datenschutzrechtlicher Grundsätze verpflichten, wie dem Zweckbindungsgrundsatz und der Pflicht zur Löschung von Daten, wenn diese nicht mehr benötigt werden“, teilt das Bundeswirtschaftsministerium mit. „Im Falle einer Verletzung dieser Grundsätze stehen EU-Bürgern transparente und effektive Rechtsschutzmöglichkeiten zur Verfügung.“
 
Der Bundesverband der Digitalen Wirtschaft (BVDW) sieht diese Entwicklung positiv. „EU-US Privacy Shield beendet ein halbes Jahr der Rechtsunsicherheit für die deutsche Wirtschaft und stellt den interkontinentalen Datenaustausch auf eine eindeutige und tragfähige Rechtsgrundlage“, erklärt der Verband. Er schränkt allerdings ein: „Nicht erst seit diesen Verhandlungen ist klar: Das eigentliche Problem, die Weitergabe und Verarbeitung von personenbezogenen Daten an die US-Geheimdienste, lässt sich durch kein Handelsabkommen regeln.“

Kritischer haben sich bereits mehrere IT-Rechtler zu Privacy Shield geäußert, darunter auch Lambert Grosskopf: „Im Grunde hat sich nichts geändert.“ Er empfiehlt, im Zweifelsfall weiterhin auf europäische Dienste zu setzen, wenn personenbezogene Daten im Spiel sind. Privacy Shield werde die nächste Prozesswelle möglicherweise ebenso wenig überstehen wie Safe Harbor zuvor.

EU-Datenschutzreform: „An der Realität vorbei“

Während der BVDW bei Privacy Shield mit der EU zufrieden ist, zeigt sich der Verband angesichts der neuen Datenschutz-Grundverordnung (EU-DSGVO) entsetzt. „Die Vorschläge gehen an Realität und Anforderungen der Informationsgesellschaft vorbei und lassen notwendige Differenzierungen und Risikoabstufungen vermissen“, betont der Verband. „Dem europäischen Gesetzgeber ist es nicht gelungen, moderne und zukunftssichere Regeln für den Umgang mit Daten im 21. Jahrhundert zu schaffen.“

Der Europäische Rat will erreichen, dass personenbezogene Daten von den Betroffenen selbst besser kontrolliert werden können. Versprochen werden:

  • Ein leichterer Zugriff auf die eigenen Daten.
  • Genauere Informationen darüber, was mit personenbezogenen Daten geschieht, wenn sie freigegeben wurden.
  • Recht auf Löschung personenbezogener Daten und Recht „auf Vergessenwerden“.
  • Recht auf Übertragbarkeit, sodass personenbezogene Daten leichter von einem Dienstleister, etwa einem sozialen Netz, auf einen anderen Dienstleister übertragen werden können.     
  • Einschränkung des „Profiling“, d.h. der automatisierten Verarbeitung personenbezogener Daten, um persönliche Aspekte zu bewerten, etwa Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit und persönlichen Vorlieben.

In der konkreten Umsetzung ergeben sich allerdings zahlreiche Schwierigkeiten, die das Magazin c’t in einem Übersichtsartikel erläutert. So werden neben den bürokratischen Anforderungen und neuen Rechtsunsicherheiten unter anderem Einschränkungen bei der Informations- und Meinungsfreiheit sowie bei Big-Data-Auswertungen befürchtet. Auch könnten neue blühende Landschaften für Abmahnanwälte entstehen, erwarten die Autoren.

Darüber hinaus wird gemutmaßt, dass amerikanische Dienste eher ihre Aktivitäten in Europa einstellen werden, als sich den massiven Anforderungen zu unterwerfen. „Man wird sehen, ob etwa Google+-Konten inklusive aller hinterlegten Daten ab Sommer 2018 per Mausklick zu Facebook gezogen werden können – und umgekehrt“, zweifelt die c’t.

Massive neue Informations- und Dokumentationspflichten

Der BVDW kritisiert, das Internet als wirtschaftlicher Wachstumsmotor werde durch die Verordnung überreguliert, die Wettbewerbsfähigkeit Europas im globalen Wettbewerb deutlich begrenzt. „Intelligente und etablierte Lösungen zum technischen Datenschutz, wie sie zum Beispiel das deutsche Recht mit der in der Praxis bewährten Pseudonymisierung von Daten (dabei wird der Personenbezug der Daten durch einen Code ersetzt, der die Identifizierung verhindert) schon lange kennt, werden weitestgehend vernachlässigt – obwohl Digitale Wirtschaft und Datenschutzbehörden während des gesamten Entstehungsprozesses dieser Verordnung immer wieder auf die Notwendigkeit einer Implementierung der Pseudonymisierung hingewiesen haben.“

Auch eine Risikoabstufung bei der Verarbeitung von Daten, die als „elementare Voraussetzung für die Wettbewerbsfähigkeit von Unternehmen mit datenbasierten Geschäftsmodellen“ gelte, finde sich in der Verordnung nicht wieder. Dies werde vor allem kleineren und mittleren Unternehmen die Entwicklung neuer Geschäftsmodelle erschweren.

Ein Kernziel des Gesetzgebers, ein Mehr an Datensparsamkeit, werde unterdessen verfehlt – denn die strenge Einwilligungserfordernis werde dazu führen, dass die Nutzer durch loginbasierte Registrierungen noch mehr Klardaten offenlegen.

Die EU-Verordnung muss bis 2018 mit dem nationalen Recht harmonisiert werden. Unternehmen müssen sich nun mit der Umsetzung befassen und ihre Geschäftsprozesse grundlegend prüfen. In den nächsten Monaten erwartet der BVDW viele interne Audits. „Weniger Gestaltungsspielraum und mehr Informations- und Dokumentationspflichten stellen Unternehmen künftig vor eine große Herausforderung“, so Thomas Duhr, Vizepräsident des BVDW. (ak)