Krankenhäuser fallen unter IT-Sicherheitsgesetz

Seit Juni gelten auch bestimmte Krankenhäuser als „kritische Infrastruktur“ im Sinne des IT-Sicherheitsgesetz. Wer mehr als 30.000 Behandlungsfälle pro Jahr aufweist, muss in Sachen IT-Sicherheit und Datenschutz nachrüsten.

Insgesamt müssen sich nun 110 Krankenhäuser nun nach den Vorgaben des IT-Sicherheitsgesetzes richten. Das IT-Sicherheitsgesetz ist zwar seit 2015 gültig. Allerdings galten die Bereiche Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr noch nicht als „kritische Infrastruktur“. Mit einer am 31.5.2017 angenommenen Änderung ist dies mit Wirkung zum 1.6.2017 angepasst worden.

Gesundheitswesen muss in Datenschutz investieren

Wie schon vom Deutschen Ärztetag gefordert, muss das Gesundheitswesen verstärkt in den Datenschutz und die IT-Sicherheit investieren. Die Ärzteschaft nahm u.a. die weltweit grassierende Randsomware „WannaCry“ für ihre Forderungen zum Anlass. WannaCry hatte auch Krankenhäuser angegriffen und teilweise lahmgelegt.

Worauf die Betreiber der betroffenen Krankenhäuser achten müssen, darüber informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zusammenfassend müssen Betreiber kritischer Infrastrukturen in ihrer Einrichtung eine Kontaktstelle für die Behörden schaffen, die bei einem meldepflichtigen Zwischenfall die Behörden informiert und die Kommunikation mit diesen führt. IT-Störungen müssen die betroffenen Krankenhäuser fortan an das BSI melden. Die eingesetzte Technik muss dem aktuellen Stand entsprechen. Diese Vorgabe findet sich schon seit langem im deutschen Datenschutzrecht. Zudem müssen die Krankenhäuser den aktuellen Stand der eingesetzten Technik im Zwei-Jahres-Turnus gegenüber dem BSI nachweisen.

Soll Sicherheitsgesetz auch auf kleinere Krankenhäuser ausgeweitet werden?

Der Ärzteverband „Marburger Bund“ kritisiert das Vorhaben – weil nur die großen Krankenhäuser davon erfasst werden. Kleinere Krankenhäuser müssen die strikteren Sicherheitsvorgaben nicht einhalten, obwohl auch sie bspw. in Deutschland von der WannaCry-Attacke betroffen waren und Schäden in Millionenhöhe zu verzeichnen haben. Kleinere Krankenhäuser nicht als kritische Infrastruktur einzubinden gehe folglich an der Versorgungsrealität vorbei, so die Ärzte des Marburger Bundes.

Es ist ohnehin fraglich, ob zur Bewertung als kritische Infrastruktur langfristig die Behandlungszahlen herangezogen werden. Electronic und Digital Healthcare wachsen, ebenso wie Nutzung von Wearables zur Aufzeichnung der Gesundheitsdaten. In absehbarer Zeit können für Ärzte erforderliche Daten bei Bedarf (in Echtzeit) übermittelt werden, unbenommen wie groß das Krankenhaus ist. Neue elektronische und digitale Behandlungsmethoden mögen aktuell noch großen Krankenhäusern vorbehalten sein. Mit weiterem Fortschritt, erschwinglicherer Technik und breiterer Ausbildung für das Personal wird Electronic und Digital Healthcare nicht großen Einrichtungen vorbehalten bleiben. Am Ende der Entwicklung werden auch Hausärzte mit der entsprechenden Technik ausgestattet sein. Die Beschränkung des IT-Sicherheitsgesetzes auf große Krankenhäuser dürfte daher nur von kurzer Dauer sein.

BfDI veröffentlicht Jahresbericht 2015/2016

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff hat ihren Tätigkeitsbericht für 2015 und 2016 vorgelegt.

Der Tätigkeitsbericht geht insbesondere auf die Umsetzung der ab 25. Mai 2018 unmittelbar geltenden Datenschutz-Grundverordnung (DSGVO) ein. Bis zu diesem Zeitpunkt muss die Verordnung in nationales Recht umgesetzt sein.

Voßhoff mahnt Bundesregierung zur Zurückhaltung

In ihrem Bericht mahnt Andrea Voßhoff die Bundesregierung zur Zurückhaltung, wenn es um die Möglichkeit der Einschränkung von Betroffenenrechten – insbesondere Auskunfts- und Widerspruchsrechte – geht. Dies ist laut DSGVO zum Schutz bestimmter wichtiger Rechtsgüter zulässig. Die Bundesregierung solle von dieser Möglichkeit nur zurückhaltend Gebrauch machen und sich auf Einzelfälle beschränken.

Fokus auf Datenschutz im Automobil

Die Frage nach ausreichendem Datenschutz im Automobil stand im Berichtszeitraum u.a. im Fokus der Tätigkeit. Voßhoff weist darauf hin, dass datenschutzrechtliche Probleme dem Verbraucher durchaus bewusst sind und kritisch betrachtet werden.

Die Bundesdatenschutzbehörde und die Landesdatenschutzbehörden sind sich einig: sämtliche Daten, die beim Betrieb eines Fahrzeugs anfallen, sind als personenbezogen zu betrachten und unterliegen den entsprechenden Regelungen des Datenschutzrechts. Die Behörden sehen vor allem die Automobilindustrie in der Pflicht: die Grundsätze des Privacy by Design und Privacy by Default müssen angewendet werden.

Weitere wichtige Themen des Berichts sind der Beschäftigtendatenschutz und die Zukunft des transatlantischen Datenverkehrs.

Facebook trifft weltweite Löschpflicht

Das Oberlandesgericht Wien hat entschieden, dass Facebook eine weltweite Löschpflicht trifft – bspw. bei Hass-Postings. Zudem können Betroffene überall klagen und nicht nur am Sitz von Facebook Inc. in Kalifornien oder in Irland, wo Facebooks Europazentrale liegt.

Facebook ist vor dem OLG Wien gescheitert. Machen Betroffene gerechtfertigte Löschantrage geltend, muss der Konzern die entsprechenden Inhalte weltweit aus seinem sozialen Netzwerk entfernen.

Betroffene können in Österreich klagen

Facebook vertrat die Auffassung, dass europäische Betroffene Löschansprüche nur am Sitz von Facebooks Europazentrale in Irland geltend machen könnten. Dem Widersprach jetzt das OLG Wien. Betroffene können auch in Österreich klagen. Das Urteil könnte auch einen Vorgeschmack auf eine gesamteuropäische Entscheidung geben. Betroffene in Deutschland dürften dann in der Bundesrepublik klagen. Die Entscheidung des OLG reiht sich gedanklich in die EuGH-Entscheidung zum sog. „Recht auf Vergessen“ ein, wonach Google auf Anfrage Suchergebnisse über Personen löschen muss.

Aktuell werden aber Suchergebnisse nur aus der jeweiligen nationalen Suchmaschine herausgefiltert. International oder aus anderen Ländern sind die Ergebnisse noch zugänglich. Hinsichtlich Facebook gehen die österreichischen Richter somit weiter. Es sei darauf hingewiesen, dass die rechtskräftige Entscheidung aus Österreich einer rechtskräftigen Entscheidung des LG Würzburg (Urteil v. 7.3.2017 – Az. 11 O 2338/16 UVR) entgegensteht. Es bleibt abzuwarten, wie sich die Löschpflichten für alle Anbieter weiterentwickeln. Die Schwedische Datenschutzbehörde bspw. tendiert mittlerweile auch zur Annahme, dass Einträge weltweit gelöscht werden müssen. Unter Umständen zeichnet sich hier bereits die zukünftige gesamteuropäische Entwicklung ab.

Datenschutzrechtliche Zulassungsprüfung für Autos

Die Bundesbeauftragte für den Datenschutz und die informationsfreiheit Andrea Voßhoff fordert eine datenschutzrechtliche Zulassungsprüfung für Autos.

Um der rasanten Digitalisierung des Autos und Straßenverkehrs Rechnung zu tragen fordert Andrea Voßhoff eine datenschutzrechtliche Zulassungsprüfung für Autos. Als Vorbild dafür dienen ihr die vom Bundestag verabschiedeten Zulassungsbedingungen für intelligente Stromzähler, sog. Smart Meter. Für Smart Meter wurden hohe IT-Sicherheitsstandards, Techniken zur Pseudonymisierung von Nutzern und das Privacy by Design-Prinzip festgeschrieben. Die Automotive-Branche kenne mit der Typgenehmigung bereits ähnliche Verfahren.

Auch freiwillige Verhaltensregeln möglich

Neben einer verpflichtenden datenschutzrechtlichen Zulassungsprüfung kämen aber auch freiwillige Verhaltensregeln der Automotive-Branche in Betracht. Die ab 2018 in Kraft tretende Datenschutzgrundverordnung (DS-GVO) sieht solche freiwilligen Verhaltensregeln ausdrücklich vor. Der Vorsitzende der Gesellschaft für Datenschutz und Datensicherheit (GDD) Rolf Schwartmann verlangt zudem eine Folgenabschätzung zur Privatsphäre im vernetzten Auto vom kommenden Jahr an. Grund hierfür ist, dass die Datenverarbeitung im Auto als „risikoreiche Datenverarbeitung“ im Sinne der DS-GVO einzustufen sei.

Voßhoff betrachtet sämtliche Daten als personenbezogen

Nach dem Willen von Andrea Voßhoff sollen alle im vernetzten Auto erhobenen Daten als personenbezogen gelten und entsprechenden gesetzlichen Regelungen unterliegen. Im Rahmen eines Symposiums zum Datenschutz im automatisierten und vernetzten Fahrzeug der Bundesdatenschutzbeauftragten wurden 13 datenschutzrechtliche Empfehlungen zum automatisierten und vernetzten Fahren veröffentlicht. So sollen Automobilhersteller u.a. gewährleisten, dass Fahrzeugnutzer die Verarbeitung bestimmter Daten selektiv erlauben oder untersagen können. Auch der Privacy by default-Grundsatz soll zur Anwendung kommen: Fahrzeuge sollen so voreingestellt sein, dass sie so wenig wie möglich über das Fahrverhalten des Betroffenen erfassen.

Aktuell sieht sich die Automotive-Branche vor einigen rechtlichen Herausforderungen. Neben den nun veröffentlichten Regeln der Bundesdatenschutzbeauftragten brachte auch das Bundesverkehrsministerium neue Ankündigungen: so sollen Daten Sachen gleichgestellt und der Grundsatz der Datensparsamkeit aufgegeben werden.

Was passiert mit persönlichen Daten nach dem Tod?

Datenschutz gilt über den Tod hinaus. Zumindest wenn es um Kommunikationsdaten geht. So sieht es das Kammergericht Berlin, das dieser Frage nachging: wer erbt den Social Media-Account eines Verstorbenen?

Die digitale Revolution macht vor keinem Bereich unseres Lebens halt: autonomes Fahren, Electronic Healthcare und Telemedizin, Selbstoptimierung mittels Wearables und eine permanente Vernetzung mit Menschen auf der gesamten Welt. Bis zum Tod eines Menschen sammeln sich gigantische Mengen an Daten an. Die Frage: wem gehören sie nach dem Tod?

Persönliche Daten nach dem Tod: Fernmeldegeheimnis wichtiger als Erbrecht

Im vorliegenden Fall (Urteil v. 31.5.2017 – Az. 21 U 9/16) ging es um die Frage, ob die Eltern eines verstorbenen Mädchens Erbe von dessen Facebook-Account geworden sind. Was zunächst lapidar klingen mag, wirft eine Menge Rechtsfragen auf, für die die aktuelle Gesetzeslage nicht immer Antworten parat hat.

Das Kammergericht kam zu dem Ergebnis, dass das Fernmeldegeheimnis aus dem Telemediengesetz jedweden infrage kommenden Ansprüchen der Eltern entgegenstünde. Insofern wies das Gericht darauf hin, dass es die Frage nach einer eventuellen Vererbung des Accounts an die Eltern nicht zu klären habe. Denn selbst wenn dies der Fall sei, stünde das Recht Dritter auf den Schutz ihrer Kommunikation mit der Verstorbenen dem Recht der Eltern entgegen.

Fall verdeutlicht grundsätzliche Probleme

Obwohl das Gericht die Frage einer möglichen Vererbung nicht abschließend in seinem Urteil bewertet hat, ist es doch auf wichtige Kernprobleme eingegangen. Grundsätzlich sei es nämlich möglich, dass die Eltern im Wege der Erbschaft in die Rechte und Pflichten des Vertrages mit Facebook eingetreten sind. Allerdings wiederum nicht im Sinne der aktiven Fortführung, sondern in Form eines passiven Leserechts der Inhalte und Kommunikation. Problematisch ist ferner, dass die Nutzungsvereinbarungen von Facebook, zumindest zum fraglichen Zeitpunkt, keine Regelung enthielten, wie im Falle des Todes eines Nutzers mit dessen Profil und den Daten umzugehen sei. Die Tatsache, dass selbst der Branchenprimus unter den Social Media-Diensten noch keine Regelung für diesen Fall gefunden hat verdeutlicht, dass es nicht leicht zu bewerkstelligen ist. Oder aber, dass sich die Branche noch keine ausreichenden Gedanken macht bzw. keinen Handlungsbedarf sieht.

BGB enthält keine explizite Regelung

Abgesehen von den genannten Problemen existiert ein weiteres. Das Bürgerliche Gesetzbuch (BGB) enthält für derartige Fälle keine Regelungen. Das Gericht führte aus, dass das BGB nicht regelt „ob höchstpersönliche Rechtspositionen (ohne vermögensrechtliche Auswirkungen) vererbbar seien, sondern setze für eine Vererbung voraus, dass sie in irgendeiner Form im Eigentum des Verstorbenen verkörpert seien und nicht nur virtuell existierten“. Die Abgrenzung zwischen nicht vererbbaren höchstpersönlichen „E-Mails“ – das Kammergericht greift auf eine Entscheidung des Bundesverfassungsgerichts (Urteil v. 16.6.2009 – Az. 2 BvR 902/06, BVerfGE 124, 43) zur Wirkung des Fernmeldegeheimnisses bei E-Mails zurück, auch wenn der Begriff für die Frage nach den Kommunikationsdaten eines Social Media-Dienstes wie Facebook kaum passt – und vererbbaren „E-Mails“ aufgrund wirtschaftlichen Bezugs sei in erheblichem Maße problembehaftet.

Vererbung des digitalen Nachlasses im Rahmen schuldrechtlicher Verträge

Unabhängig von der wohl nicht passenden Verwendung des Begriffs „E-Mails“ für die Kommunikationsinhalte sozialer Netzwerke – insbesondere Chats, Posts, Kommentare und Reaktionen (bspw. „Like-Button“) – drehen sich die Fragen noch um weitere Themenfelder der digitalen Gesellschaft des 21. Jahrhunderts.

Aktueller Stand der Literatur und des Gerichts ist, dass der digitale Nachlass nicht als dingliches Recht auf die Erben übergeht. Vielmehr werden die schuldrechtlichen Rechte und Pflichten aus dem zwischen dem Erblasser und dem Provider geschlossenen Vertrag auf die Erben übertragen. Das bedeutet, dass der geschlossene Vertrag als Ganzes auf die Erben übergeht. Gerade hier stellt sich die oben erwähnte Problematik der Unterscheidung höchstpersönlicher und wirtschaftlicher Kommunikationsinhalte.

Letztlich haben wir in Deutschland noch keine abschließende Antwort auf diese Fragen. Das Kammergericht hat deshalb auch die Revision zum Bundesgerichtshof zugelassen. Zudem erscheint es fraglich, ob die Unterscheidung zwischen höchstpersönlichen und wirtschaftlichen Kommunikationsinhalten auf Dauer zielführend ist. Die Debatte um „Daten als neue Währung“ verdeutlicht, dass Daten in unserer Gesellschaft zukünftig immer einen wirtschaftlichen Faktor aufweisen könnten. Wie soll mit Daten in einem Nachlass verfahren werden, die für den privaten Nutzer höchstpersönlich für den Provider aber wirtschaftlich sind? Kann eine Bewertung zur Klärung der Erbfrage nur aus Sicht des Erblassers beantwortet werden? Oder müssen Kommunikationsinhalte objektiv bewertet und demnach höchstpersönliche Aspekte des Erblassers und wirtschaftliche Aspekte des Providers einbezogen werden? Dieses Problem mag noch nicht drängend sein, solange Daten hauptsächlich wirtschaftlich für den Provider sind. In Zukunft könnten aber mehr und mehr Modelle auf dem Markt auftauchen, die es Privatpersonen erlauben ihre eigenen höchstpersönlichen Daten wirtschaftlich zu nutzen. Was passiert mit unseren Daten nach dem Tod? Diese Frage bleibt noch nicht vollständig beantwortet.

EU-Kommission hält BDSG-neu für rechtswidrig

Die EU-Kommission hält das deutsche Umsetzungsgesetz für die Datenschutzgrundverordnung (DSGVO) für rechtswidrig. Grund sind vermeintliche Öffnungsklauseln, die die Bundesregierung nutzen will.

Die beschlossene DSGVO soll für einen höheren Standard im europäischen Datenschutzrecht sorgen und ist bereits beschlossen. 2018 tritt sie in Kraft. Das geplante deutsche Umsetzungsgesetz BDSG-neu hat jetzt die EU-Kommission auf den Plan gerufen.

Keine Öffnungsklausel vorgesehen

Grund hierfür ist ein Streit um Öffnungsklauseln in der DSGVO, die eigene nationale Regelungen erlauben würden. Die Bundesregierung ist der Auffassung, dass die DSGVO solche Klauseln vorsieht. Dem widerspricht die EU-Kommission: es gebe lediglich Raum für nationale Spezifizierungen.Konkret kritisiert die Kommission den geplanten § 23 BDSG-neu, der nach Ansicht der EU zu weitreichende Ausnahmen für öffentliche Stellen vorsieht, personenbezogene Daten für „andere Zwecke“ verarbeiten zu dürfen. Die Formulierung sei zu ungenau. Auch die Betroffenenrechte würden zu stark eingeschränkt: der Entwurf unterlaufe die vorgesehen Möglichkeiten zur Einsichtnahme in gespeicherte Daten und deren Recht auf Korrektur bzw. Löschung.

Ist die geplante Nachjustierung ausreichend?

Mittlerweile liegt ein Änderungsantrag vor, der Abhilfe schaffen soll. Insbesondere bei den Betroffenenrechten soll nachgebessert werden. Ob die beantragten Änderungen ausreichen, ist nicht sicher. Kritik kommt weiterhin von deutschen Datenschutzbeauftragten der Länder. In der aktuellen Fassung des BDSG-neu wurde die beantragte Änderung angenommen.

Ärztetag fordert dezentrale Speicherung und höchsten Datenschutz

Dezentrale Speicherung digitaler Patientenakten, keine zentrale Cloud-Lösung und höchsten Datenschutz. Das fordert der Deutsche Ärztetag für die Digitalisierung des Gesundheitswesens.

Nachdem die Ransomware „Wannacry“ weltweit zehntausende Computer befallen hatte, sieht der Deutsche Ärztetag Handlungsbedarf bei der Digitalisierung des Gesundheitswesens. Wannacry verschlüsselte massenweise Dateien und legte u.a. in Großbritannien mehrere Krankenhäuser lahm.

Nein zur zentralen Cloud-Lösung, ja zum höchsten Datenschutz

Deutschlands Mediziner wollen keine zentrale Cloud-Lösung für die Daten ihrer Patienten. Angriffe wie mit Wannacry würden zeigen, dass Patientendaten in einer Cloud nicht sicher seien. Entsprechendes findet sich auch in den Beschlussfassungen des 120. Deutschen Ärztetages. Anstatt einer zentralen Datenbank in Form einer Cloud schlägt der Ärztetag vor, die Patientendaten dezentral bei den jeweiligen behandelnden Ärzten und der Patienten zu speichern. Dies soll eine dezentrale Punkt-zu-Punkt-Kommunikation unter Berücksichtigung höchster Datenschutzstandards gewährleisten.

Darüber hinaus sollen in der Medizin keine Softwareprodukte, einschließlich Apps, mehr zum Einsatz kommen dürfen, die nicht diesen Anforderungen genügen. Dies soll in einem noch zu beschließenden digitalen Medizinproduktegesetz als Zulassungsvoraussetzung normiert werden.

Ärzte weisen insbesondere auf Hacking-Gefahr hin

Explizit beziehen sich die Ärzte auf jüngste Vorfälle wie Wannacry, aber auch auf Meldungen über gehackte Medizinprodukte wie Insulinpumpen und Herzschrittmacher. Zwei kürzlich publizierte Studien haben über 8000, teils schwere, Sicherheitslücken bei Herzschrittmachern und weiteren medizinischen Produkten offengelegt. Nur 17% der Hersteller haben überhaupt Maßnahmen zum Schutz der Geräte und Daten unternommen. Dabei können unterlassene Sicherheitsmaßnahmen und fehlender Datenschutz für den Patienten im schlimmsten Fall tödliche Folgen haben. Nur 9% der Hersteller testen ihre Produkte jährlich auf potentielle Sicherheitslücken. Die Studien beziehen sich auf Medizinprodukte aus den USA.

 

„Von Sicherheitslücken durchsiebt“: Forscher prüfen Tizen OS von Samsung

Tizen OS ist das hauseigene Betriebssystem von Samsung und kommt auf mobilen Endgeräten und Fernsehern des Unternehmens zum Einsatz. Sicherheitsforscher haben das Betriebssystem getestet. Die Bilanz ist deutlich negativ.

Mit Tizen OS will sich Samsung unabhängiger von Googles Android OS machen, das v.a. auf Smartphones und Tablets des Herstellers zum Einsatz kommt. Schrittweise soll es Android auf den mobilen Endgeräten ablösen sowie im Smart Home und Internet of Things-Segment Samsungs Produkte auszeichnen. Sicherheitsforscher haben den Code des Open-Source-Betriebssystems analysiert und das Ergebnis veröffentlicht.

„Der wohl schlimmste Code, den ich je gesehen habe“

Dieses Ergebnis fiel alles andere als positiv aus. Der Code von Tizen wird als der wohl schlimmste bezeichnet, den die Sicherheitsforscher je gesehen haben. Alleine 40 Zero Day-Lücken konnte sie ausfindig machen. Zudem verwendeten die Programmierer von Tizen Befehle, die heutzutage aufgrund ihrer Anfälligkeit für Hacker-Angriffe eigentlich nicht mehr Verwendung finden. In Samsungs Betriebssystem tauchen diese Befehle faktisch an allen Stellen auf.

Jedweder Schadecode möglich

Die Sicherheitslücken ermöglichen de facto die Ausführung jedweden Schadcodes. Grund hierfür ist die Verwendung veralteter Befehle in Tizen Store. Dieses Programm dient dem Erwerb und der Installation von Apps. Dem entsprechend hat Tizen Store Zugriffsrechte auf alle weiteren Programme und das Betriebssystem, um bspw. Updates durchzuführen. Über diese Zugriffsrechte können Hacker umfängliche Angriffe durchführen. Sogar ein infiziertes Update des gesamten Betriebssystems ist möglich.

Was tun?

Unternehmen, die Geräte von Samsung mit Tizen OS nutzen, sollten im besten Fall auf die Nutzung vorübergehend verzichten. Zumindest in Europa und den USA ist Tizen auf Smartphones und Tablets von Samsung noch nicht präsent, dafür aber auf einigen Wearables wie Smart Watches. Samsung selbst übt sich in Zurückhaltung. Allerdings soll bereits gemeinsam mit den Sicherheitsforschern an einer Lösung der Probleme gearbeitet werden. In Anbetracht des Umfangs wird es sich wohl nicht um kurzfristige Lösungen handeln.

BfDI kritisiert Entwurf für autonomes Fahren

Die Bundesdatenschutzbeauftragte Andrea Voßhoff hat datenschutzrechtliche Bedenken zum Gesetzesentwurf für autonomes Fahren geäußert. Sie schließt sich damit der Kritik ihrer Länderkollegen an. Das geplante Gesetz ließe zu viele Fragen unbeantwortet.

Das autonome Fahren soll gesetzlich noch vor der Sommerpause ermöglicht werden. Darauf drängt auch die Regierung und hat Bundestag und Bundesrat einen entsprechenden Gesetzesentwurf mit Eilbedürftigkeit vorgelegt.

Art und Umfang der Datenverarbeitung zu ungenau

Andrea Voßhoff hat sich in der Debatte um den Gesetzesentwurf der Kritik der Landesdatenschutzbeauftragten angeschlossen. Konkret handelt es sich um die geplante Neufassung des § 63a des Straßenverkehrsgesetzes. Er schreibt vor, dass ein Datenspeicher in autonom fahrenden Autos Fahrzeugdaten erfassen und drei Jahre speichern soll. Die so gespeicherten Daten sollen bei der Aufklärung eines Unfallhergangs herangezogen werden.

Die Datenschutzbeauftragten bemängeln, dass unklar bleibe welche Fahrzeugdaten genau gespeichert werden sollen. Zudem sei nicht geregelt, ob und unter welchen Bedingungen Daten gelöscht werden und wie die Weitergabe an Dritte gehandhabt wird. Letztlich ist auch noch unklar, in welchen Fällen Unfallgegner und Behörden auf die Daten zugreifen dürfen, um einen Unfallhergang aufklären zu können.

In einem solchen Fall stellt sich unweigerlich das Problem einer wirksamen Einwilligung des Betroffenen in die Verarbeitung seiner Daten. Diese kann u.a. nur dann vorliegen, wenn der Betroffene vollständig und verständlich über Art und Umfang der Datenverarbeitung informiert wurde. Bleiben Veränderungen an dem aktuellen Gesetzentwurf aus sollten sich Unternehmen auf eine anhaltende Rechtsunsicherheit einstellen.

Erneut Ärger um transatlantischen Datenschutz

Privacy Shield löste Safe Harbor ab, das vom Europäischen Gerichtshof für ungültig erklärt wurde. Auf beiden Seiten des Atlantiks erhoffte man sich davon ein Ende der Auseinandersetzungen um den transatlantischen Datenschutz. Nun hat das Europäische Parlament eine kritische Resolution angenommen.

Seit Inkrafttreten des Privacy Shield-Abkommens reißt die Kritik nicht ab. Nun hat das Europäische Parlament auf eine Executive Order des US-Präsidenten Donald Trump reagiert, die möglicherweise Nicht-US-Bürger aus dem Datenschutz ausschließt.

EU-Parlament betrachtet Überwachungspraxis als europarechtswidrig

Als Reaktion auf die Executive Order nahm das Parlament in Straßburg nun eine Resolution an, die die US-amerikanische Überwachungspraxis als nicht vereinbar mit dem geltenden EU-Recht klassifiziert. Das hat zunächst einmal keine direkten rechtlichen Auswirkungen für europäische Unternehmen. Das Tauziehen um den transatlantischen Datenschutz dürfte aber weitergehen.

Es erhöht zum einen aber den Druck auf die zuständige EU-Kommissarin Věra Jourová zu handeln. Die Abgeordneten erwarten von ihr mehr Einsatz für die europäischen Datenschutzstandards. Zum anderen könnte es für Unternehmen schwieriger werden, US-amerikanische Dienstleister zur Verarbeitung personenbezogener Daten einzusetzen. Privacy Shield schreibt vor, dass Nicht-EU-Dienstleister eine angemessene Struktur zum Schutz personenbezogener Daten vorhalten müssen. Diese muss das europäische Datenschutzniveau garantieren. Nach der nun angenommen Resolution ist das für US-amerikanische Unternehmen fraglich, die der Überwachung der nationalen Sicherheitsbehörden unterliegen.

Wie geht es mit Privacy Shield weiter?

Für Unternehmen wird der Zustand der Rechtsunsicherheit bei Datentransfers in die USA wohl noch weiter andauern. Věra Jourová hat auf einem Treffen der EU-Justizminister durchblicken lassen, dass das Vertrauen in die USA erneuert werden müsse. Zwar können Unternehmen aktuell auf Basis des Privacy Shield-Abkommens weiterhin Daten in die USA transferieren. Allerdings hat der EuGH in seiner Entscheidung zu Safe Harbor die europäischen Datenschutzbehörden ermächtigt, vermuteten Datenschutzverstößen eigenständig nachzugehen. Ein pauschaler Angemessenheitsbeschluss der EU-Kommission steht Ermittlungen nicht mehr entgegen, so wie es während des Safe Harbor-Abkommens der Fall war. Damit dürfte es nur eine Frage der Zeit sein, bis europäische Behörden die ersten Ermittlungen gegen US-amerikanische Dienstleister einleiten.