Vernetzte Autos - Teil 2 des Gastbeitrags von Hans-Christian Schellhase

Unser Gastautor, der Jurist Hans-Christian Schellhase

Auf dem Weg zum vernetzten Auto

In Zukunft werden Autos nicht nur selbstständig Spur und Geschwindigkeit halten sowie ein- und ausparken. Die Fahrzeuge werden im Rahmen von intelligenten automobilen Dienstleistungen („Smart Services“) umfassend miteinander kommunizieren, Hindernissen ausweichen, günstige Tankstellen ansteuern, auf den Fahrer zugeschnittene Freizeitangebote unterbreiten, im Drive-In und der Waschstraße bezahlen, Werkstätten bei Bedarf automatisch aufsuchen, auf dem Weg dorthin Ersatzteile bestellen und die Gesundheit des Fahrers überwachen.

Aus dem weiten Spektrum möglicher „Smart Services“ möchten wir Ihnen heute drei näher vorstellen, die aktuell im Fokus des öffentlichen Interesses stehen.

Automatisches Notrufsystem „eCall“

Wie bereits in Teil 1 unserer kleinen Serie zum Thema erwähnt, müssen voraussichtlich ab April 2018 alle in der EU neu zugelassenen Personenkraftfahrzeuge und leichte Nutzfahrzeuge mit einem automatischen Notrufsystem ausgestattet sein. Dieser sog. eCall (Kurzform für „emergency call”) setzt bei einem Auslösen der Airbags oder bei manueller Aktivierung der Notruffunktion automatisch einen Notruf ab und übermittelt die für die Rettung notwendigen Daten. Die EU-Kommission geht davon aus, dass sich die Zahl der tödlichen Unfälle und schweren Verletzungen im Straßenverkehr durch die Einführung des eCall signifikant verringern wird.

Die Funktionsweise des eCall ist einfach. Das System wählt sich bei Auslösen eines Notrufs über eine eigene SIM-Karte in das Mobilfunknetz ein und baut eine Sprach- und Datenverbindung zur nächstgelegenen Notrufstelle auf. Über die Datenverbindung werden daraufhin die wichtigsten Rettungsdaten übermittelt: Unfallort, Unfallzeitpunkt, Fahrtrichtung, Fahrzeugkennung, Fahrzeugtyp, Treibstoffart, Anzahl der angelegten Sicherheitsgurte. Anschließend leitet die Notrufstelle auf der Grundlage dieser Daten Rettungsmaßnahmen ein und nimmt über die Sprachverbindung Kontakt zum Unfallfahrzeug auf.

Notfallrettung -und mehr

Insoweit ist der eCall uneingeschränkt zu begrüßen. Der eCall dient jedoch nicht allein der Verbesserung der Notfallrettung. Der europäische Gesetzgeber verfolgt mit dieser Initiative mutmaßlich auch industriepolitische Zwecke, da der eCall die technische Basis für die weitere digitale Ertüchtigung des Autos ist - denn mit dem verpflichtenden Einbau der Notruftechnik ist künftig jedes Neufahrzeug internet- und telematikfähig. Damit wird die technische Grundlage für innovative Zusatzdienste rund um das Auto geschaffen und voraussichtlich die Stellung der europäischen Informations- und Kommunikationstechnologie gestärkt.

Auch die entsprechende EU-Verordnung sieht umfangreiche Zusatzdienste rund um den gesetzlichen Notruf vor. Das eCall-System besteht damit in Wirklichkeit aus zwei Teilen: dem gesetzlichen Notruf und den Zusatzdiensten. Während jedoch der gesetzliche Notruf datenschutzrechtlich unproblematisch ist, drohen die Zusatzdienste zum Einfallstor für zahlreiche automobile Datensammlungen zu werden, die im Zweifel für die Betroffenen schwer bis gar nicht durchschaubar, geschweige denn kontrollierbar sind.

Telematikversicherung „Pay as you drive”

Eine der möglichen Datennutzungen ist die Verwendung für Versicherungszwecke. Wer der KFZ-Versicherung Einblick in sein Fahrverhalten gibt, kann bei vorsichtigem Fahrstil die Prämie senken. Damit jedoch ein verhaltensabhängiges Prämienmodell funktioniert, müssen eine Reihe von Daten erfasst, gespeichert und zur Auswertung an die Versicherung übermittelt werden. Dies sind u.a. Geschwindigkeit, Brems- und Beschleunigungsverhalten, Art der befahrenen Straße, gefahrene Strecke, Uhrzeit und Datum.

Bisher musste für die Übermittlung eine gesonderte Telematikbox im Auto installiert sein. Mit der gesetzlich vorgegebenen Informatisierung des Autos ab April 2018 ist diese künftig entbehrlich.

Bei der ersten in Deutschland auf dem Markt befindlichen Telematikversicherung findet die Datenverarbeitung in zwei voneinander getrennten Datenkreisen statt. Das Auto sendet die Fahrdaten mit einer Kunden-ID pseudonymisiert an einen vom Versicherer verschiedenen Messdienstleister. Dieser Messdienstleister berechnet dann aus den Fahrdaten monatlich fünf Scorewerte, die er dem Versicherer zur Prämienberechnung übermittelt. Dies sind Geschwindigkeit, Fahrweise, Nachtfahrten, Stadtfahrten und einen gewichteten Gesamtwert. Durch dieses Vorgehen ist sichergestellt, dass der Versicherer, der allein den Personenbezug herstellen kann, keinen Einblick in das konkrete Fahrverhalten hat. Der Messdienstleister wiederum hat zwar Einblick in das Fahrverhalten, er kann die Daten aber nicht in Beziehung zu einer bestimmten Person setzen, da er nicht über den Schlüssel zur Auflösung der Pseudonymisierung verfügt. Einblick in die Fahrten hat lediglich der Versicherungsnehmer, er kann alle Fahrten und das Fahrverhalten auf einem Webportal des Messdienstleisters nachvollziehen.

Die Vision: Autonomes Fahren

Autonome und teilautonome Fahrerassistenzsysteme gehören bereits zum automobilen Alltag. Sie erhöhen die Sicherheit und entlasten die Fahrer. Hierzu gehören u.a. Abstands- und Spursicherungsassistenten, Nachtsichthilfen, Nothaltesystem und Verkehrszeichenerkennung. Die derzeitigen Fahrerassistenzsysteme sind aber nur die Vorstufe für etwas viel Größeres: das automatisierte Fahren. Die Autos fahren und der Fahrer liest die Zeitung.

Alle großen Hersteller arbeiten derzeit an „selbstverantwortlichen” Fahrzeugen. Auch Google und Apple bereiten den Markteintritt vor, möglicherweise sogar als Anbieter eigener autonomer Fahrzeuge. Bis zur Einführung des autonomen Fahrens sind jedoch noch eine Vielzahl technischer, ethischer, gesellschaftlicher und rechtlicher Fragen zu klären. Dennoch könnten bereits 2020 die ersten hochautomatisierten Fahrzeuge auf Autobahnen anzutreffen sein. Damit erhält die Vernetzung des Fahrzeugs eine ganz neue Qualität.

Neue Qualität der Vernetzung

Die neue Qualität ergibt sich zum einen aus der technischen Aufrüstung des Fahrzeugs mit hochentwickelten Radarsensoren, softwaregesteuerten Kameras und Laserscannern. Diese beobachten nicht nur das Umfeld des Fahrzeugs, sondern auch die Fahrzeuginsassen. Zum anderen ist das selbstfahrende Auto eine lernende Maschine und dafür sind riesige Datenmengen erforderlich. Damit die Maschine „Auto“ mindestens genauso gut wie der Mensch am Straßenverkehr teilnimmt, muss sie in der Lage sein, das Verhalten menschlicher Verkehrsteilnehmer vorhersehen zu können. Die im Auto verbauten Nahfeldkameras müssen etwa am Blick und am Bewegungsablauf von Kindern erkennen können, ob diese auf die Straße laufen. Gleiches gilt für alle anderen Verkehrssituationen mit menschlicher Beteiligung.

Damit das Auto sich immer weiter verbessern kann, werden alle Situationen und Daten, welche die Außen- und Innenraumsensoren des Fahrzeugs erfassen, gespeichert und analysiert. Die Konsequenz aus alle dem ist, dass sich das Datenvolumen und damit die Zahl der kritischen personenbezogenen Daten vervielfacht. Fallen bei einem vernetzten modernen Mittelklassewagen derzeit etwa 25 Gigabyte pro Stunde an, sind es bei den autonom fahrenden Prototypen 300 Gigabyte je Stunde. Sollten in Zukunft Autos auch noch untereinander und mit Verkehrszeichen kommunizieren, steigt die Zahl weiter an.

Diese gewaltigen Datenmengen können nicht mehr im Auto selbst verarbeitet werden; sie werden daher in die Cloud ausgelagert. Dies bedeutet, dass künftig eine riesige Datenmenge in die Cloud wandert und damit an einen Ort, der datenschutzrechtlich bereits heute als vermintes Gebiet gilt.

Fahren - und mehr

Das autonome Fahren ist darüber hinaus darauf angelegt, dass die Daten nicht in der Cloud verbleiben, sondern anderen Verkehrsteilnehmern und sonstigen Dritten zur Verfügung gestellt werden. Denkbar ist beispielsweise, dass die Fahrzeuge über den Hersteller vernetzt werden, damit jedes einzelne Fahrzeug am Lernfortschritt der anderen Fahrzeuge in Echtzeit teilhaben kann. Die digitale Spur, welche die Fahrzeuginsassen im selbstfahrenden Auto hinterlassen, vertieft sich zusätzlich dadurch, dass mit dem Wegfall der Aufgaben des Fahrers die Möglichkeiten steigen, in der gewonnenen Zeit im Internet zu surfen, Filme zu schauen oder Online-Shopping zu betreiben. Nicht von ungefähr interessieren sich daher alle großen Internetkonzerne - darunter Google, Facebook und Apple - für das autonome Fahren.

Ausblick auf Teil 3 – Rechtsgrundlagen und die Herausforderungen für den Datenschutz

Bevor wir in unserem Blog näher darauf eingehen, inwieweit die Anwendungen rund um das vernetzte Auto in Einklang mit den datenschutzrechtlichen Bestimmungen stehen und inwieweit die bestehenden Risiken mit den bestehenden Datenschutzregelungen aufgefangen werden können, werden wir uns im dritten Teil unserer Serie damit auseinandersetzen, welche Regelungen für die rechtliche Bewertung von „Connected Cars“ eine Rolle spielen und welche Herausforderungen das vollumfänglich vernetzte Auto für den Datenschutz mit sich bringt.

Webinar zur EU-Datenschutzgrundverordnung - was Behörden wissen müssen - mit Rechtsanwältin Dr. Bettina Kähler

Die geplante EU-Datenschutzgrundverordnung ist in aller Munde – aber was kommt da auf Behörden tatsächlich zu? Rechtsanwältin Dr. Bettina Kähler erklärt es Ihnen.

Wenn Sie mehr erfahren wollen melden Sie sich zum Webinar an, dass wir In Zusammenarbeit mit der Sophos GmbH am Freitag, 06. November 2015 um 11:00 Uhr zu diesem Thema gestalten. Rechtsanwältin Dr. Bettina Kähler bringt Licht in den Paragraphen-Dschungel, von Sophos Security Consultant Michael Veit erhalten Sie darüber hinaus handfeste Praxistipps, wie Datenschutz mit der Sophos-Verschlüsselungslösung effizient umgesetzt werden kann.

Wir freuen uns über zahlreiche Beteiligung! Anmelden können Sie sich hier.

Vernetzte Autos - ein Gastbeitrag von Hans-Christian Schellhase

Premiere im PrivCom-Blog - unser Kollege Hans-Christian Schellhase hat sich mit den datenschutzrechtlichen Implikationen der vernetzten Autos ("Connected Cars") beschäftigt und die Ergebnisse für uns in einem mehrteiligen Gastbeitrag aufbereitet.

Lesen Sie hier:

Das Internet der Dinge und die fortschreitende allumfassende Vernetzung treiben Produkte und Geschäftsmodelle in allen Wirtschaftszweigen voran. Dieser Trend zeigt sich momentan besonders in der Automobilindustrie durch die sog. „Connected Cars“, über die wir Sie in dieser mehrteiligen Serie informieren möchten. Natürlich können auch wir bei diesem spannenden Thema nicht ganz aus unserer Haut heraus und betrachten die Connected Cars daher vor allem mit dem eher kritischen Blick eines Datenschutzbeauftragten bzw. Datensicherheitsexperten.

Einführung

Autos werden immer mehr zu rollenden Allround-Computersystemen, die mit der Umwelt, der Infrastruktur sowie dem Internet vernetzt sind und in alle Richtungen ohne Zutun des Fahrers kommunizieren. Wer heute Auto fährt, gibt daher auch eine Vielzahl persönlicher Daten preis.
Sicherheits-, Navigations- und Multimediasysteme sammeln Kilometer für Kilometer Informationen über den Fahrstil, den Standort und die Gewohnheiten der Autofahrer. Dies macht das Fahren durchaus sicherer, entspannter und umweltfreundlicher aber gleichzeitig gehen damit gravierende Gefahren für das Grundrecht auf informationelle Selbstbestimmung einher – der Grundlage des deutschen und europäischen Datenschutzes.

Moderne Autos wissen alles

Moderne Autos wissen fast alles über ihre Fahrer und auch deren Mitfahrer. Bis zu 80 Steuergeräte erheben, speichern und verarbeiten mit Hilfe von Sensoren alle relevanten Fahr- und Fahrzeugdaten. Diese Daten sind dabei besonders für Automobilhersteller, Zulieferer, Werkstätten, Autobanken, Versicherungen, Arbeitgeber, Krankenkassen und Mobilitätsdienstleister, aber auch für Gerichte, Finanz- und Strafverfolgungsbehörden höchst interessant.

Im vernetzten Auto werden diese Daten dann über Schnittstellen unmerklich nach außen transportiert. Dies schafft eine vollkommen neue Lebenswirklichkeit, da sich der Betroffene dieser Form der Kommunikation nicht entziehen kann. Im schlimmsten Falle weiß er gar nicht, dass sein Fahrzeug kommuniziert.

Man könnte auch sagen: Das Grundrecht auf informationelle Selbstbestimmung wird mit jedem gefahrenen Kilometer ein Stück weiter ausgehöhlt. Manche sagen auch: „abgeschafft“.

Spätestens mit der Einführung des automatischen Notrufsystems eCall im April 2018 ist jedes Neufahrzeug in der EU - etwa über das Mobilfunknetz - kommunikationsfähig. Die Zeiten also, in denen das Auto in gewisser Weise der digitale Rückzugsort gewesen ist, sind dann endgültig vorbei. Schon bald hinterlässt jedes Fahrzeug eine markante digitale Spur, aus der sich hochdetaillierte Bewegungs-, Verhaltens- und Persönlichkeitsprofile von Fahrer, Halter und anderen Personen ableiten lassen.

Technik

Dreh- und Angelpunkt des vernetzten Fahrzeugs ist die Sensor- und Steuerungstechnik. Moderne Fahrzeuge verfügen - wie bereits erwähnt - über bis zu 80 Steuergeräte. Diese regeln die aktiven und passiven Sicherheitssysteme sowie das reibungslose Zusammenspiel der technischen Fahrzeugkomponenten. Die hierfür notwendigen Daten erhalten die Steuergeräte von Sensoren. Diese erfassen u.a. Achslast, Beschleunigung, Bremsverhalten, Motordrehzahl, Lenkradeinschlag, Reifendrehzahl, Reifendruck, Temperatur, Querbeschleunigung, Geschwindigkeit und Verformungen. Andere Sensoren ermitteln, wie viele Personen wo im Fahrzeug sitzen, ob sie angeschnallt sind und wie laut die Musik im Innenraum ist.

Nichts entgeht den Sensoren

Auch gesundheitsrelevante fahrkritische Daten wie Pulsfrequenz, Handfeuchtigkeit, Körperhaltung, Allergenbelastung sowie der Atemalkoholgehalt werden von Sensoren erhoben und an die Steuergeräte weitergeleitet. Allein anhand der Augenbewegungen können die jeweilig verbauten Sensoren darüber hinaus die Fahrtauglichkeit erkennen.

Neben zahlreichen Sensoren, die für sich genommen schon eine Unmenge an Daten erheben, sind in einem modernen Auto aber auch Kameras und Radarsysteme verbaut, die das Fahrzeugumfeld überwachen. Videokameras - sog. Dash-Cams - werden jedoch nicht nur im Außen- sondern auch im Innenbereich von Fahrzeugen eingesetzt.

Die von den Sensoren und Kameras erhobenen Daten werden anschließend an die Steuergeräte übermittelt. Dort werden die erhobenen Ist-Daten mit den in den Steuergeräten hinterlegten bzw. errechneten Soll-Daten verglichen. Bei Abweichungen ergehen regulierende Steuerbefehle an die Bordelektronik, so wird etwa durch das Auto der Lenkradeinschlag des Fahrers korrigiert oder die Geschwindigkeit automatisch verringert.

Um Sensoren zu sparen, tauschen Steuergeräte Informationen auch untereinander aus. So werden etwa die für das elektronische Stabilitätsprogramm (ESP) erhobenen Daten auch für die Alarmanlage und das Kurvenlicht genutzt.

Ausblick auf Teil 2 - ausgewählte „Smart Services“

Weil Speicherplatz fast nichts mehr kostet und Computer immer schneller werden, lassen sich im sowie rund um das Auto gewaltige Mengen unterschiedlicher Daten verknüpfen und korrelieren. Dadurch sind vielfältige intelligente automobile Dienstleistungen, sog. „Smart Services“, möglich. Im zweiten Teil dieser Serie werden wir Ihnen eine kleine Auswahl dieser vielfältigen Angebote vorstellen.

Nachlese: it sa in Nürnberg

Letzte Woche fand in Nürnberg die große IT-Messe it sa statt, bei der wir zum zweiten Mal vertreten waren. Am Anfang stand eine lange Fahrt mit dem ICE: Hamburg-Nürnberg, das macht 4,5 Stunden. Zeit, die wir gut zur letzten Vorbereitung und einer Arbeitsbesprechung nutzen konnten.

Am nächsten Tag haben wir unsere „Workstation“ am Stand von Infinigate bezogen, die wir mit den Kollegen von antago teilten.

Mittags folgte der Auftakt der von Infinigate und Sophos organisierten „Roadshow“ zum IT-Sicherheitsgesetz, bei der Anna Cardillo (hauptsächlich) und ich (zu einem kleineren Teil) als Referentinnen gebucht sind. Der Vortrag von Anna traf auf große Resonanz bei den zahlreich vertretenen Teilnehmern der ersten Veranstaltung und folgte unserem bewährten Prinzip „Dialog mit dem Publikum statt Paragrafen von Folien ablesen“. Sehr interessant war auch der anschließende Vortrag von Alexander Dörsam von antago zu Sicherheitsthemen.

Im weiteren Verlauf gab es unzählige interessante Gespräche über Datenschutz, Informationssicherheit, technische Lösungen und Möglichkeiten ... und viel Spaß bei der Sophos Standparty.

Abends schmerzten die Füße und der Kopf rauchte, aber es hat sich gelohnt. Wir sind wieder mal um interessante Einblicke und Erkenntnisse reicher geworden.
Unser Dank gilt den Kolleginnen und Kollegen von Infinigate und Sophos für die hervorragende Organisation, an der wir teilhaben durften!

Safe Harbor kein Sicherer Hafen – wie geht es weiter?

Nach der „Milestone decision“ des Europäischen Gerichtshofs (EuGH) am letzten Dienstag, mit dem das höchste europäische Gericht das Safe Harbor Abkommen für ungültig erklärte, wird nun intensiv über die Folgen diskutiert.

Ein kurzer Blick zurück - was bedeutet Safe Harbor?

Das Safe Harbor Abkommen ist eine Entscheidung der Europäischen Kommission aus dem Jahr 2000, aufgrund derer es Unternehmen ermöglicht werden sollte, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln. Grundlage für den Beitritt zum Safe Harbor war eine Selbstverpflichtung der (amerikanischen) Unternehmen, europäische Datenschutzstandards einzuhalten. Allerdings haben Datenschützer das Prinzip des Sicheren Hafens schon lange angezweifelt: Die deutschen Datenschutzbehörden erklärten schon im Jahr 2010, dass sich die Übertragung von Daten nicht allein auf eine Safe-Harbor-Zertifizierung von US-Unternehmen stützen dürfe. Nach der Veröffentlichung der Snowden-Dokumente und dem Wissen um die Überwachung durch amerikanische Geheimdienste, wurde diese Kritik noch verstärkt. Insofern war all denjenigen, die mit der Materie vertraut sind, schon länger klar, dass der Sichere Hafen eben kein Sicherer Hafen ist.

Was genau ist geschehen?

Geklagt hatte der österreichische Jurist Max Schrems, der schon seit Jahren in rechtlichen Auseinandersetzungen mit Facebook über Datenschutz streitet. Er wollte nicht akzeptieren, dass Facebook persönliche Daten von Facebook Nutzern auf Servern in den USA speichert, wo sie, so Schrems, nur unzureichend vor dem Zugriff durch die amerikanischen Geheimdienste geschützt sind. Deshalb sollten die Richter des EuGH klären, ob sich die europäische Facebook-Niederlassung mit Sitz in Dublin an die EU-Grundrechtecharta zum Schutz personenbezogener Daten halten muss und möglicherweise europäisches Datenschutzrecht verletzt.
Der EuGH stellt in seiner Entscheidung fest, dass die Safe-Harbour-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta genügt, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Faktisch unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte, so der EuGH, und die sehr weit gehenden Befugnisse der amerikanischen Geheimdienste widersprächen den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren. Letzteres, weil betroffene EU-Bürger keinen Anspruch darauf haben, in den USA Auskunft über die Datenverarbeitung staatlicher Stellen zu erlangen und die entsprechenden Zugriffe und die anschließende Datenverarbeitung gerichtlich überprüfen zu lassen. Aus diesen Gründen sei das Safe Harbour Abkommen ungültig. Damit ist gleichzeitig eine rechtliche Erlaubnis für Unternehmen entfallen, personenbezogene Daten in die USA zu übermitteln.

Die Entscheidung ist im Volltext auf Deutsch hier abrufbar: http://www.cr-online.de/blog/wp-content/uploads/2015/10/C_0362_2014-DE-ARR.pdf

Die Folgen der Entscheidung

Facebook und die alle anderen Unternehmen, die auf der Grundlage des Safe Harbor Abkommens personenbezogene Daten in die USA übermittelt haben, können sich jetzt nicht länger auf die Annahme stützen, dass die Verarbeitung personenbezogener Daten, die aus der EU übermittelt wurden, generell der Vermutung unterliegen, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet (Art. 25 der EU-Datenschutzrichtlinie von 1995). Die Unternehmen benötigen für Datentransfers in die USA nunmehr grundsätzlich die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die Datenschutzbehörden dürfen diese Genehmigung allerdings nur erteilen, wenn der Empfänger der Daten in den USA ein angemessenes Datenschutzniveau gewährleistet – die Angemessenheit ist bezogen die jeweiligen personenbezogenen Daten, die übermittelt werden sollen. Die irische Datenschutzbehörde muss die Beschwerde von Max Schrems prüfen und darf sich nicht länger auf bestehende Verträge berufen, die den Datenaustausch bisher erlaubten.

Der Nachweis, dass amerikanische Unternehmen auch ohne Safe Harbor ein angemessenes Datenschutzniveau einhalten, dürfte generell schwer zu führen sein, und in der Praxis langwierige Verfahren nach sich ziehen. Davon abgesehen fällt die Vorstellung grundsätzlich schwer, dass Facebook, Microsoft, Google und all die anderen ihre Verfahren mal eben so auf eine andere Rechtsgrundlage umstellen können, die die Angemessenheit des Datenschutzes garantieren soll, wie z.B. die sog. „Standardvertragsklauseln. (Eine gute Übersicht über alternative rechtliche Lösungen findet sich in diesem Artikel von heise.de: http://www.heise.de/newsticker/meldung/Nach-dem-EuGH-Urteil-Alternativen-zu-Safe-Harbor-2837700.html).

Auch andere Lösungen bieten keinen Schutz

Die alternativen rechtlichen Lösungen für die Zulässigkeit von Datentransfers in die USA können im Grunde ebenso wenig wie der nicht mehr „Sichere Hafen“ vor staatlicher Überwachung schützen und es sprechen gute Gründe dafür, dass die vom EuGH in der Sache Schrems formulierten Anforderungen auch auf sie anwendbar sind. Davon geht auch die Art. 29 Arbeitsgruppe aus, die in einer Pressemitteilung schreibt: "The Working party is aware that this decision, taken in the context of the negotiation on the European Regulation and the discussions on the Safe Harbour between the European Commission and the US authorities, has major consequences on all stakeholders”.

Vorerst offen

Die Situation ist also vorerst offen. Die Vertreter der Datenschutzbehörden beraten national und europaweit, wie es weitergehen kann. Dank des europäischen Gerichtshofes besteht nun die Chance, die in den USA und auch in Teilen Europas weitverbreitete „Datenschutz-ist-uns-völlig-egal-Haltung“ zumindest ein wenig aufzubrechen und wir hoffen, dass Heribert Prantl recht behält und das Urteil „die globale Datenwirtschaft“ tatsächlich verändern wird.

Datenschutz im Sportverein (1)

Als Referentin beim Hamburger Sportbund führt Frau Dr. Bettina Kähler regelmäßig Workshops zum Thema Datenschutz im Sportverein durch. Wir möchten Ihnen mit unserer neuen Serie die wichtigsten und immer wiederkehrenden Themen aus der Praxis kurz und kompakt darstellen. Gleichzeitig lösen wir damit ein von Frau Kähler lange gegebenes Versprechen ein, ein kleines „Nachschlagewerk“ zum Thema Datenschutz im Sportverein zu schaffen.

Anmeldeformular

Der erste Schritt in den Sportverein ist – neben der Auswahl der Sportart ... - das Anmeldeformular. Erster Schritt, erste datenschutzrechtliche Frage: Welche Daten dürfen darauf erhoben werden?

Ein Verein darf nach § 28 Abs. 1 BDSG nur die Daten von den Mitgliedern erheben, die für die Organisation der Vereinsmitgliedschaft und für die Betreuung und Verwaltung der Mitglieder erforderlich sind. Dazu zählen alle Daten, ohne die ein geregeltes Wirken des Vereins nicht möglich wäre. Im Einzelnen sind dies Name und Anschrift des Mitglieds sowie das Geburtsdatum, bei Lastschriftverfahren die Bankverbindung sowie die Zugehörigkeit des Mitglieds zu einer bestimmten Abteilung. Nicht erforderlich und daher nach Ansicht der Aufsichtsbehörden nur mit freiwilliger Einwilligung zu erheben sind Telefonnummer und E-Mail Adresse. Gleiches gilt für die Frage nach früheren Vereinsmitgliedschaften eines Beitrittswilligen.

Transparenz

Aus Gründen der Transparenz sollten die Beitrittswilligen bei der Anmeldung verschiedene Informationen zum Datenschutz erhalten. Dies sind:

- Die für die Datenverarbeitung verantwortliche Stelle (d.h. der jeweilige Verein),
- die Zweckbestimmung der Datenverarbeitung (d.h. die Betreuung der Mitgliedschaft und Vernetzung innerhalb des Vereins),
- die möglichen Datenempfänger (z.B. der Dachverband, andere Vereine im Fall von Wettkämpfen),
- eine Information, wann welche Daten gelöscht werden.

Praktisch lässt sich dies am besten so lösen, dass der Verein als Anhang zum Anmeldeformular eine entsprechende datenschutzrechtliche Belehrung aufnimmt, aus der sich die Einzelheiten der oben genannten Datenverarbeitung ergeben.

Einwilligung

Für bestimmte Daten, etwa Gesundheitsdaten, die nach § 3 Abs. 9 BDSG zu den besonders sensiblen Daten gehören, oder Daten, deren Erhebung nicht für die Durchführung der Vereinsmitgliedschaft und der Verwaltung der Mitglieder erforderlich sind, muss eine Einwilligung der Mitglieder eingeholt werden (§ 4a Abs. 1 BDSG).

Die datenschutzrechtliche Einwilligung muss bestimmte Voraussetzungen erfüllen. Sie muss schriftlich erteilt werden und der Betroffene muss zuvor ausreichend klar darüber informiert worden sein, welche Daten für welchen Zweck vom Verein erhoben, dann verarbeitet und genutzt werden sollen. Wenn eine Weitergabe der Daten beabsichtigt oder wegen Verbandszugehörigkeit ggf. erforderlich ist, fällt auch diese unter die Informationspflicht. Die Einwilligung kann auch, wie heute in der Vereinspraxis üblich, auf dem Anmeldeformular eingeholt werden. Allerdings muss sie in geeigneter Weisen deutlich gemacht werden, etwa durch drucktechnische Hervorhebung der Erklärung oder abgesetzt vom sonstigen Text.

Was ist mit Kindern und Jugendlichen als Mitglieder?

Auch Kinder und Jugendliche können eine datenschutzrechtliche Einwilligung verbindlich erteilen, soweit sie in der Lage sind, die Konsequenzen der Speicherung und Verwendung ihrer Daten zu übersehen. Eine Altersgrenze, an wann die Einsichtsfähigkeit angenommen wird gibt es nicht. Bestehen beim Verein Zweifel an der Einsichtsfähigkeit, sollte eine Erhebung und Verwendung der personenbezogenen Daten erst nach vorheriger Einwilligung der Eltern erfolgen.

Fazit

Bei Beachtung dieser wichtigen Hinweise, ausreichender Transparenz und Information der Mitglieder, steht einer Erhebung von Mitgliederdaten bei der Anmeldung durch den Verein nichts mehr im Wege. An welchen Stellen bei der weiteren Verwendung trotzdem Vorsicht geboten ist und wann der Sportverein einen Datenschutzbeauftragten benötigt, erfahren Sie im nächsten Teil.

Weitere Vorträge zum IT-Sicherheitsgesetz

Wer diese Termine für Vorträge zum IT-Sicherheitsgesetz nicht wahrnehmen kann oder uns auf der it sa verpasst, hat hier noch die Gelegenheit, den Vortrag von Anna Cardillo zu hören:

Am 13. Oktober in Düsseldorf und am

24. November in Hannover

bei der BCS Bartels Computer Systeme GmbH.

Veranstalter ist die Infinigate Deutschland GmbH, die von verschiedenen Kooperationspartnern und von uns unterstützt wird.

Darüberhinaus wird es noch mindestens einen Webcast zum Thema geben, sowie einen zur geplanten EU-Datenschutzgrundverordnung. Die Termine werden wir dann hier ebenfalls rechtzeitig ankündigen.

it sa in Nürnberg: 6. bis 8. Oktober 2015

Große Ereignisse werfen wieder mal ihre Schatten voraus: In zwei Wochen reisen wir nach Nürnberg zur it sa, wo wir in diesem Jahr „Untermieter“ am Stand der Infinigate Deutschland GmbH sind. Für die Dauer der Messe nennen wir dort eine von Infinigate sogenannte Workstation unser eigen. Kommen Sie uns besuchen! Sie finden uns in Halle 12.0 am Stand 12.0-403. Unsere Geschäftsführerin Anna Cardillo wird die vollen drei Tage vor Ort sein; sie wird verstärkt von mir und Jutta Löwe (6. und 7.10.) sowie von Ilona Pawlowska (7. und 8.10.). Und am 6.10. gibt es als Teil der Infinigate Roadshow einen Vortrag von Anna Cardillo und mir zum neuen IT-Sicherheitsgesetz (13:00 Uhr im Konferenzraum Venedig). Wir freuen uns auf Sie.

Messe zur IT-Sicherheit

Am 10. und 11.November 2015 findet in Fürstenfeldbruck bei München die PROsecurITyEXPO statt. Der Name der Messe ist Programm - die PROsecurITy ist eine neu entstehende IT-Sicherheitsmesse, die mit einem Kongress über IT-Sicherheit verbunden wird und in diesem Jahr erstmalig stattfindet. Das vielfältige, interessante Programm ist inzwischen hier abrufbar. Unsere Geschäftsführerin Anna Cardillo ist bei dieser Veranstaltung die Frauenquote aus dem Norden und steuert einen Vortrag zum neuen IT-Sicherheitsgesetz und der Haftung für Unternehmer bei.

Unternehmenskauf und Datenschutz

Auch das kann teuer werden: In einer Pressemitteilung von Ende Juli teilt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mit, es habe Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen das Datenschutzrecht ein Bußgeld in fünfstelliger Höhe auferlegt. Der Umgang mit den Kundendaten des eingekauften Unternehmens erfolgte nicht datenschutzkonform. Offenbar will das Bayerische Landesamt für Datenschutzaufsicht nicht nur in Sachen Auftragsdatenverarbeitung ein Exempel statuieren, sondern auch hinsichtlich des Umgangs mit Kundendaten im Rahmen eines Unternehmenskaufs und verband die Verhängung dieses Bußgeldes gleich mit der Ankündigung, in weiteren Fällen ebenso zu verfahren.

Was war geschehen?

Kundendaten haben für Unternehmen einen erheblichen wirtschaftlichen Wert, insbesondere auch wegen der Möglichkeit, die gesammelten Daten zu Werbezwecken zu nutzen. Stellt ein Unternehmen seinen Betrieb ein, versucht es häufig, alle noch vorhandenen Unternehmenswerte an ein anderes Unternehmen zu verkaufen. Ähnlich versuchen auch Insolvenzverwalter eines insolventen Unternehmens, die Kundendaten, die oft noch den einzigen Wert darstellen, zu den höchstmöglichen Preisen zu verkaufen. In dem vom BayLDA beanstandeten Fall hatten die betroffenen Parteien des Unternehmenskaufs nach Ansicht der Aufsichtsbehörde die datenschutzrechtlichen Vorschriften für den Übergang der Kundendaten von einem Unternehmen auf das andere missachtet.

Datenschutz beim Unternehmenskauf

Bei Unternehmenstransaktionen wird den Interessenten üblicherweise schon im Vorfeld des Kaufs eine Vielzahl von Informationen über das Unternehmen zur Verfügung gestellt, um eine Einschätzung der wirtschaftlichen Lage des Unternehmens zu ermöglichen. Dabei spielen auch alle im Unternehmen vorhandenen personenbezogener Daten eine entscheidende Rolle, wie etwa Mitarbeiter-, Lieferanten- und Kundendaten. Gerade die Kunden- und Mitarbeiterdaten sind für den Wert eines Unternehmens entscheidend.

Datenschutzrechtlich betrachtet stellt die Weitergabe beispielsweise von Mitarbeiterdaten an potentielle Käufer eine Übermittlung von personenbezogenen Daten an Dritte dar, die nur auf der Grundlage der Einwilligung der Mitarbeiter zulässig ist (§ 4 Abs. 1 BDSG). Daher ist schon in der Vorphase des Verkaufs zu prüfen, wie eine Übermittlung der Daten unter Beachtung der Datenschutzgesetze umgesetzt werden kann.

In Bezug auf die Kundendaten ist deren Übertragung vom Käufer auf den Verkäufer und die Nutzung durch diesen auch nicht ohne weiteres datenschutzrechtlich erlaubt. Hier kommt es wie so oft auf den Einzelfall an: es muss genau geprüft werden, welche Daten zu welchem Zweck übertragen und weitergenutzt werden sollen und auf dieser Grundlage ist die Rechtmäßigkeit zu prüfen. Dies gilt jedenfalls in den Fällen, in denen ein ganzes Unternehmen verkauft wird und nicht nur ein Teil eines Unternehmens bzw. eine bloße Umwandlung eines Unternehmens oder Unternehmensteils stattfinden soll.

In dem in Bayern sanktionierten Fall wurden im Zuge eines Unternehmenskaufs E-Mail Adressen der Kunden vom „alten“ auf das „neue“ Unternehmen übertragen und vom „neuen“ für Werbezwecke genutzt. Die Übertragung ist allerdings nur zulässig, wenn die betreffenden Kunden in die Übermittlung solcher Daten eingewilligt haben oder zumindest auf die geplante Übermittlung hingewiesen worden sind, ihnen ein Widerspruchsrecht eingeräumt wurde und sie nicht widersprochen haben. Anderes gilt jedoch, und auch das stellt die bayerische Behörde klar, im Fall der Übermittlung von Namen und Postanschriften von Kunden (sog. Listendaten). Diese dürfen grundsätzlich auch ohne vorherige Einwilligung des Kunden übermittelt und genutzt werden, wenn das veräußernde Unternehmen die Übermittlung dokumentiert hat.

Praxisferne Regelungen

Sicher hat die Behörde recht, wenn sie feststellt,

„Unternehmen (...) müssen sich bewusst machen, dass personenbezogene Kundendaten nicht wie eine beliebige Ware veräußert werden dürfen. Vielmehr ist dies nur unter Beachtung der datenschutzrechtlichen Voraussetzungen erlaubt.“

Leider nur sind die bestehenden Vorschriften zum Umgang mit personenbezogenen Daten zu Werbezwecken so schlecht und praxisfern geregelt, dass kaum jemand sie versteht. Hinzu kommen neben den Datenschutzvorschriften auch noch die Vorgaben des Gesetzes gegen den unlauteren Wettbewerb (UWG), nach dem E-Mail-Adressen und Telefonnummern von Kunden auch nicht ohne ausdrückliche Werbeeinwilligung des jeweiligen Kunden genutzt werden dürfen (§ 7 Abs. 2 Nr. 2 und Nr. 3 UWG).

Betrieblichen Datenschutzbeauftragten frühzeitig beteiligen

Was also können Unternehmen tun, um Bußgelder zu vermeiden? Wie in allen Szenarien, die datenschutzrechtlich heikel sein könnten, ist es wichtig bereits im Vorfeld den betrieblichen Datenschutzbeauftragten zu beteiligen. Ist kein betrieblicher Datenschutzbeauftragter vorhanden, sollte frühzeitig anderer Sachverstand zum Datenschutz eingeholt werden. In aller Regel lassen sich auch auf der Grundlage der schlechten Gesetze Wege finden, wie das geplante Vorhaben ohne datenschutzrechtliche Risiken verwirklicht werden kann. Ein Problem entsteht nur dann, wenn die Risiken zu spät erkannt und/oder ignoriert werden.

Auftragsdatenverarbeitung - Bußgeld

Das kann teuer werden. Die noch immer weit verbreitete Praxis, bei der Übergabe von personenbezogenen Daten an externe Dienstleister entweder keinen Vertrag über Auftragsdatenverarbeitung zu schließen oder aber einen, der nur ein Papiertiger ist, wurde jetzt vom Bayerischen Landesamt für Datenschutzaufsicht mit einem Bußgeld in fünfstelliger Höhe sanktioniert. Wie das Bayerische Landesamt in einer Pressemitteilung darstellt, hatte das betroffene Unternehmen in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten festgelegt. Die Aufträge enthielten statt einer detaillierten Regelung nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Die Bayern haben damit den vom Bundesdatenschutzgesetz vorgesehenen Bußgeldrahmen für solche Verstöße gründlich ausgeschöpft – er liegt bei maximal 50.000 EUR (§ 43 Abs. 2b i.V.m. Abs. 3 BDSG).

Schlecht geregelte Auftragsdatenverarbeitung ist Alltag

Fehlende oder mangelhaft geregelte Verträge über Auftragsdatenverarbeitung erleben wir in unserer Beratungstätigkeit auch so gut wie täglich. Eine ebenfalls immer noch kursierende Variante ist das Kopieren eines Mustervertrages aus dem Netz, in den dann einfach nur die Kontaktdaten von Auftraggeber und Auftragnehmer eingefügt werden. Übersehen wird dabei, dass eine sorgfältige Regelung der Pflichten eines Auftragnehmers von Datenverarbeitung letztlich beide Parteien vor den Folgen schlampiger oder gar missbräuchlicher Datenverarbeitung schützt. Wer noch einmal etwas ausführlicher zu den grundsätzlichen Aspekten einer Auftragsdatenverarbeitung lesen möchte, kann dies hier in den alten Blogartikeln "Anforderungen an eine Auftragsdatenverarbeitung" und "Auftragsdatenverarbeitung?" tun.

Vorträge zum IT-Sicherheitsgesetz

Wir sind mit neuem Schwung aus der Sommerpause zurück und haben eine Reihe von Terminen mit Vorträgen zum neuen IT-Sicherheitsgesetz für Sie.

Die Nachfrage nach Informationen zu den Anforderungen des neuen IT-Sicherheitsgesetzes ist riesig. Wer unsere erste Übersicht in dem Webcast von Sophos verpasst hat, kann hier noch mal nachhören. Außerdem stehen schon eine ganze Reihe Termine mit Vorträgen zum Thema IT-Sicherheitsgesetz von Anna Cardillo fest (Beginn ab September). Eine Auswahl finden Sie nachfolgend:

Wirtschaftsschutzfachtagung am 01. Oktober 2015 in Laatzen bei Hannover. Veranstaltet vom Niedersächsischen Verfassungsschutz in Kooperation mit dem Niedersächsischen Ministerium für Wirtschaft, Arbeit und Verkehr. Nähere Informationen sind unter diesem Link erhältlich.

Vom 06. bis 08. Oktober sind wir in Nürnberg auf der it-sa Messe vertreten und im November auf der PROsecurITy EXPO in Fürstenfeldbruck. Der Name der Messe lässt bereits auf den Inhalt schließen - die PROsecurITy ist eine neu entstehende IT-Sicherheitsmesse, die mit einem Kongress über IT-Sicherheit verbunden wird und erstmalig am 10. und 11. November stattfindet. In diesem ersten Jahr werden bereits etwa 40 Aussteller und 1.000 Fachbesucher erwartet. Auch hier steuern wir einen Vortrag zum neuen IT-Sicherheitsgesetz bei.

Weitere Veranstaltungen mit Anna Cardillo als Vortragsrednerin sind in Planung. Die genauen Termine geben wir rechtzeitig hier und bei Xing bekannt.

Darüberhinaus sind verschiedene Webcasts zum Thema IT-Sicherheitsgesetz mit Dr. Bettina Kähler als Referentin geplant. Wir werden auch diese Termine hier und bei Xing ankündigen, sobald sie feststehen.