Der Begriff Datenschutz bezieht sich auf die Gesamtheit der Gesetze, Vorschriften und Richtlinien, die die Erhebung, Speicherung, Verwendung und Verbreitung personenbezogener Daten regeln. Das Ziel des Datenschutzes ist es, die Privatsphäre und die Sicherheit des Einzelnen zu schützen und ihm die Kontrolle über seine persönlichen Daten zu geben.
In vielen Ländern wird der Datenschutz durch spezielle Gesetze und Verordnungen geregelt, wie z. B. die Allgemeine Datenschutzverordnung (GDPR) in der Europäischen Union und der California Consumer Privacy Act (CCPA) in Kalifornien. In diesen Gesetzen sind in der Regel bestimmte Rechte für Einzelpersonen in Bezug auf ihre personenbezogenen Daten festgelegt, z. B. das Recht auf Zugang, Berichtigung und Löschung ihrer personenbezogenen Daten.
Zum Datenschutz gehört auch die Umsetzung technischer und organisatorischer Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Veränderung, Weitergabe oder Zerstörung zu schützen. Dazu können Maßnahmen wie Verschlüsselung, Firewalls und Zugangskontrollen gehören.
Darüber hinaus sind Organisationen verpflichtet, einen Datenschutzbeauftragten (DSB) zu ernennen, der die Einhaltung der Verordnung sicherstellt und die Organisation und ihre Mitarbeiter bei der Einhaltung der Datenschutzgrundsätze unterstützt, Datenschutz-Folgenabschätzungen durchführt und als Ansprechpartner für betroffene Personen und Aufsichtsbehörden fungiert.
Insgesamt ist der Datenschutz ein komplexes und sich ständig weiterentwickelndes Gebiet, und Organisationen müssen über die neuesten Gesetze und Vorschriften sowie über bewährte Verfahren zum Schutz personenbezogener Daten informiert bleiben.
DSGVO – Der TLfDI, Dr. Lutz Hasse, weist auf die richtungsweisende Bewertung der Datenschutzkonferenz (DSK) zu Microsoft 365 hin:
Die DSK nimmt den Bericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ und dessen Zusammenfassung zur Kenntnis.
Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass derNachweis von Verantwortlichen, Microsoft 365 datenschutz- rechtskonform zu betreiben, auf der Grundlage des von Microsoft bereit- gestellten „Datenschutznachtrags vom 15.September 2022“ nicht geführt werden kann. Solange insbesondere die notwendigeTransparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.
DSGVO – Hierzu eine kurze Erläuterung: Die Bewertung der Datenschutzkonferenz wendet sich nicht direkt an Microsoft, sondern an die Verantwortlichen und besagt, dass diese Microsoft 365 nicht datenschutzrechtskonform verwenden können. Warum? Die Verantwortlichen müssen nach Art. 5 Abs. 2 DS-GVO nachweisen können, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht, solange Microsoft seinen eigenen Unterlagen zufolge personenbezogene Daten (von wem?) für eigene Zwecke (welche?) verwendet und hierüber auch keine weiteren Angaben macht. Ein Beispiel: Wenn eine Schulleitung als Verantwortliche die einwilligen- den Eltern und die Lehrerschaft nicht darüber informieren kann, ob bei der Verwendung von Microsoft 365 Daten von Kindern oder Lehrer:innen verarbeitet werden und wenn ja, für welche Zwecke, dann können die Eltern und die Lehrerschaft gar nicht informiert (s. Art. 4 Nr. 11 DS-GVO) einwilligen und den entsprechenden Informationspflichten (Art. 13 DS-GVO) kann der Schulleiter auch nicht nachkommen.
DSGVO – Gleichwohl erteilte Einwilligungen wären unwirksam und damit fehlte es an einer Rechtsgrundlage für die verantwortliche Schulleitung (s. Art. 6 Abs. 1 DS-GVO), die Daten mit Microsoft 365 verarbeiten zu dürfen.Überdies kann vor diesem Hintergrund der Verantwortliche den Auftragsverarbeiter (Microsoft) gar nichtanweisen, die Daten in bestimmter Weise zu verarbeiten oder eben nicht zu verarbeiten, solange sich Microsoft vorbehält, die Daten für eigene Zwecke zu verarbeiten – ein Verstoßgegen Art 28 DS-GVO. Hinzu kommen die Fragen der Datenübermittlung in die USA.
Dr. Lutz Hasse: “Zunächst freut mich die positive Resonanz in der Datenschutzkonferenz. MeineAufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehör- den auch – mit denVerantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eineverhältnismäßige Umsetzung dieser Rechtslage zu erörtern. Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“
Quelle: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Encrypted –Mit neuen Verschlüsselungslösungen wird die Datensicherheit erhöht.Forscherinnen und Forscher des CISPA Helmholtz-Zentrum für Informationssicherheit und des Instituts KASTEL am Karlsruher Instituts für Technologie (KIT) haben die Ergebnisse ihrer Machbarkeitsstudie zum Thema „Encrypted Computing“ an die Agentur für Innovation in der Cybersicherheit (Cyberagentur) übergeben.
Im Dezember 2021 hatte die Cyberagentur ihr erstes ausgeschriebenes Projekt zum Thema „Encrypted Computing“ an das CISPA Helmholtz-Zentrum für Informationssicherheit und an das Karlsruher Institut für Technologie (KIT), als Unterauftragnehmer, vergeben. Eine Machbarkeitsstudie sollte potenzielle „Encrypted Computing“-Anwendungen identifizieren, welche zukünftig im Bereich der Inneren und Äußeren Sicherheit eingesetzt werden können. Hierbei ging es zentral darum, die Sicherheitseigenschaften zu erfassen und einen Vergleich der Leistungsfähigkeit dieser Verfahren in Abhängigkeit von ihren Anwendungsszenarien zu erreichen.
Datensicherheit – Encrypted Computing und ähnliche Technologien gelten als zukunftsweisende Ansätze, um die Datensicherheit zu erhöhen. „Mit Kryptografie lassen sich Datenverarbeitung und Datenschutz vereinbaren“, sagt Prof. Dr. Jörn Müller-Quade vom Institut KASTEL am KIT. Bislang galt in der modernen Kryptographie, bevor man mit verschlüsselten Daten weiterarbeiten kann, muss man sie entschlüsseln. CISPA-Faculty Dr. Nico Döttling und Prof. Dr. Jörn Müller-Quade wollen daran etwas ändern. Beide Forscher sind Experten auf dem Gebiet des Encrypted Computing, einer Familie von Verschlüsselungsverfahren, mit denen Daten auch in verschlüsselter Form verarbeitet werden können. Eine Entschlüsselung zum Klartext ist erst dann wieder nötig, wenn die Ergebnisse eingesehen werden sollen, für Berechnungen ist dies aber nicht nötig. Sensible und sicherheitskritische Daten können so zwar analysiert, aber gleichzeitig auch geheim gehalten werden.
Insbesondere die Effizienz der derzeit bekannten Algorithmen für eine solche Kryptographie ist ein großes Problem für die Forschung. „Encrypted Computing ist keine Universallösung für sicheres Rechnen. Allerdings birgt das Gebiet noch enormes Potenzial, insbesondere, wenn noch effizientere Algorithmen gefunden werden“, so Döttling. Müller-Quade ergänzt: „Insbesondere ist es derzeit keine Universallösung, weil es für manche Anwendungen vielleicht nicht effizient genug ist. Vielleicht gibt es für manche Anwendungen sogar prinzipielle Grenzen. Wir würden uns über ein Folgeprojekt freuen. Durch Technologieoffenheit können wir für verschiedene Sicherheitsniveaus effizientere Lösungen finden.“
„Unsere Mission ist es, innovative Technologien für Anwendungen in der inneren und äußeren Sicherheit zu fördern, die aber noch fernab von der Marktreife stehen“, sagt Robert Seidel, Projektverantwortlicher bei der Cyberagentur. „Encrypted Computing passt sehr gut in dieses Bild. Ich freue mich, dass wir in KASTEL/KIT und CISPA zwei so forschungsstarke Partner für unser Projekt gewinnen konnten.“ Die Machbarkeitsstudie ist der erste Schritt der Forschungsaktivitäten der Cyberagentur im Bereich des Encrypted Computing. Weitere Forschungsprogramme sollen folgen: „Bereits im kommenden Jahr wollen wir mit einer neuen Ausschreibung dafür werben, dass sich Kryptologinnen und Kryptologen weiterhin mit unseren Fragen auseinandersetzen“, sagt Projektmanagerin Dr. Tanja Zeeb.
Quelle: Agentur für Innovation in der Cybersicherheit GmbH
Ein klarer Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und die E-Privacy-Richtlinie. Das ist das Ergebnis einer Analyse, die das Tech-Unternehmen Usercentrics anhand von 250 Apps durchgeführt hat.
Datenschutz bei Glücksspiel-Apps? Fehlanzeige!
Usercentrics untersuchte im Oktober 2022 jeweils 50 Apps aus fünf verschiedenen Kategorien: Lebensmittel, Lifestyle, Fitness und Gesundheit, Finanzen sowie Glücksspiel. Das Ergebnis? Bei den Lebensmittel-Angeboten ist der Datenschutz noch am besten: „Nur” 84 % der Apps aus dieser Kategorie entsprechen nicht den Vorgaben der DSGVO, bei den Finanz-Apps (Platz zwei) sind es 86 %. Unrühmliches Schlusslicht: die Glücksspiel-Angebote. 100 % in dieser Kategorie halten die Vorgaben der DSGVO nicht ein.
Bußgelder, Verlust von Kundenvertrauen und Schädigung des Markenimages vermeiden
„Die Ergebnisse dieses Berichts zeigen deutlich, was wahrscheinlich der größte ‚Elefant im Raum‘ in der App-Branche ist: Die meisten Apps sind noch weit davon entfernt, die DSGVO und die E-Privacy-Richtlinie korrekt umzusetzen. Und das, obwohl die Nutzer einen Großteil ihrer Zeit in Apps verbringen, wo letztlich die meisten PII-Daten [Persönlich identifizierbare Informationen] gesammelt werden – in den meisten Fällen immer noch ohne ausdrückliche Einwilligung. Mit diesem Bericht wollen wir zum einen das Bewusstsein für Datenschutz schärfen, Unternehmen zum anderen aber auch Tipps an die Hand geben, was sie tun können, um die Privatsphäre der Nutzer in den Fokus zu rücken. Damit sie nicht nur Bußgelder vermeiden können, sondern auch den Verlust von Kundenvertrauen oder eine Schädigung ihres Markenimages“, erklärt Valerio Sudrio, Global Director Apps Solutions bei Usercentrics.
Usercentrics verwendete für die Analyse der Apps das Tool Apptopia. Untersucht wurden ausschließlich Apps, die
Tracker von Drittanbietern zum Zweck der Analyse, Attribution, Monetarisierung und/oder Marketing installiert
Nutzer in der EU
und mindestens 50.000 täglich aktive Nutzer hatten.
Die meisten der in den Apps eingebetteten Tracker sind darauf ausgelegt, personenbezogene Daten wie IP-Adressen, Online-Kennungen und Standortdaten zu verarbeiten.
Die Analyse zeigt, dass das Thema Datenschutz bei den meisten App-Anbietern vernachlässigt wird. Dass neun von zehn Apps nicht den Vorgaben der DSGVO entsprechen, ist ein beunruhigendes Ergebnis. Anbieter sind gut beraten, hier zügig nachzubessern.
DS-GVO Unklare Regelungen und uneinheitliche Auslegung der Datenschutz-Grundverordnung macht der Wirtschaft zu schaffen.
Die europäische Datenschutz-Grundverordnung ist von ihrem Ziel, einheitliche Datenschutzregeln in Europa zu schaffen, noch ein gutes Stück entfernt. Und das, obwohl die große Mehrheit der Unternehmen die Vorgaben der DS-GVO inzwischen umgesetzt hat. Das zeigt eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom unter 503 Unternehmen ab 20 Beschäftigten in Deutschland. So loben 67 Prozent, dass die DS-GVO weltweit Maßstäbe für den Umgang mit personenbezogenen Daten setzt. Und jedes zweite Unternehmen (50 Prozent) glaubt, dass die DS-GVO zu einheitlichen Wettbewerbsbedingungen innerhalb der EU führt. Aber 70 Prozent sehen aufgrund der unterschiedlichen Auslegung der DS-GVO in den Mitgliedsstaaten noch keinen EU-weiten einheitlichen Datenschutz. Und auch die Bewertung mit Blick auf das eigene Unternehmen fällt überwiegend kritisch aus. So können 40 Prozent keinen Wettbewerbsvorteil durch die DS-GVO auf dem internationalen Markt für das eigene Unternehmen erkennen – und 30 Prozent sehen sogar Wettbewerbsnachteile. Dem stehen 16 bzw. 13 Prozent gegenüber, die die DS-GVO als geringen oder großen Wettbewerbsvorteil bezeichnen „Die Idee der DS-GVO, einen einheitlichen Datenschutzrahmen mit hohen Standards für Europa zu schaffen, war und ist richtig. Bislang ist aber nicht gelungen, daraus den oft behaupteten Wettbewerbsvorteil zu ziehen“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.
Datenschutz-Aufwand wird für die DS-GVO hochgefahren
Dabei hat die große Mehrheit die DS-GVO inzwischen umgesetzt, entweder vollständig (22 Prozent) oder größtenteils (40 Prozent). Ein Drittel (33 Prozent) sieht sich erst teilweise am Ziel, nur 2 Prozent haben erst mit der Umsetzung begonnen – und kein Unternehmen hat bisher nichts getan. Praktisch alle Unternehmen haben seit Einführung der Datenschutz-Grundverordnung (DS-GVO) ihren Aufwand für Datenschutz hochgefahren. 16 Prozent stellen fest, dass dieser langsam wieder abnimmt, aber 47 Prozent gehen von einem gleichbleibend höheren Aufwand aus, 30 Prozent erwarten sogar, dass der bereits gestiegene Aufwand noch weiter zunimmt. Nur 6 Prozent sehen keinen Mehraufwand, für kein Unternehmen ist der Aufwand gesunken. „Die DS-GVO ist kein Punkteplan, den man sich vornimmt und dann einmalig umsetzt“, so Rohleder. „Sie erfordert dauerhafte Anstrengungen, insbesondere bei der Einführung neuer Geschäftsprozesse und digitaler Technologien, und die ständige Reaktion auf neue Auslegungen, etwa durch Gerichtsurteile oder Hinweise der zahlreichen Aufsichtsbehörden“, so Rohleder.
DS-GVO: Vor allem externe Faktoren bremsen
Dass die Umsetzung der DS-GVO noch nicht weiter ist, liegt nach Ansicht der Unternehmen überwiegend an Gründen, die sie nicht selbst zu verantworten haben. Sie sehen sich vor allem mit Rechtsunsicherheit und einer widersprüchlichen Auslegung der Datenschutzvorgaben innerhalb Europas und zwischen den Bundesländern konfrontiert. So geben 88 Prozent an, die Umsetzung der DS-GVO sei nie vollständig abgeschlossen, etwa weil es neue Guidelines gibt. 78 Prozent sehen bestehende Rechtsunsicherheiten zu den Vorgaben der DS-GVO als Hemmnis. 77 Prozent haben festgestellt, dass durch das Ausrollen neuer Tools immer wieder eine neue Prüfung in Gang gesetzt wird. 57 Prozent sehen in der uneinheitlichen Auslegung der DS-GVO innerhalb der EU ein Hemmnis, 40 Prozent in der uneinheitlichen Auslegung in Deutschland. Und 52 Prozent beklagen eine mangelnde Beratung durch Aufsichtsbehörden. Aber auch unternehmensinterne Gründe bremsen die DS-GVO-Umsetzung. 45 Prozent sagen, die erforderliche IT- und Systemumstellungen kosten viel Zeit, 32 Prozent fehlt es an finanziellen Mitteln, 24 Prozent an qualifizierten Beschäftigten. Rund jedes vierte Unternehmen (23 Prozent) bindet die Datenschutzbeauftragten nur mangelhaft ein, 15 Prozent sehen ganz allgemein eine mangelnde Unterstützung im Unternehmen.
Entsprechend kritisch beurteilen die Unternehmen aktuell die Umsetzung des Datenschutzes in Deutschland. Zwei Drittel stellen fest, dass der strenge Datenschutz in Deutschland die Digitalisierung erschwert (68 Prozent), für fast ebenso viele hemmt der uneinheitliche Datenschutz die Digitalisierung (65 Prozent). Und 61 Prozent sagen, Deutschland übertreibe es mit dem Datenschutz – vor einem Jahr lag der Anteil noch bei 50 Prozent. „Datenschutz darf nicht zum Selbstzweck werden“, sagt Rohleder. „Aus Sicht der Unternehmen ist es der DS-GVO bislang nicht gelungen, den Datenschutz zu vereinheitlichen, weder innerhalb der EU noch innerhalb Deutschlands. Deutschland kann sich auf Dauer nicht 18 verschiedene Datenschutz-Auslegungen leisten. Ob in München oder Hamburg, in Köln oder Schwerin: zumindest innerhalb Deutschlands müssen die gleichen Datenschutzregeln gelten.“
Unternehmen sind häufiger gezwungen, Innovationsprojekte zu stoppen
Häufiger als noch im Vorjahr berichten die Unternehmen davon, dass mindestens ein Innovationsprojekt in den vergangenen zwölf Monaten aufgrund des Datenschutzes gescheitert ist oder gar nicht in Angriff genommen wurde. In 82 Prozent der Unternehmen lag das an konkreten DS-GVO-Vorgaben (2021: 75 Prozent), in 93 Prozent an Unklarheiten im Umgang mit den Vorgaben (2021: 86 Prozent). Konkret betrifft das in jedem zweiten Unternehmen den Aufbau von Datenpools (52 Prozent, -2 Prozentpunkte verglichen mit 2021), in 45 Prozent die Prozessoptimierung im Bereich der Kundenbetreuung (+8 %P), in 38 Prozent den Einsatz neuer Datenanalysetools (+8 %P) und in 37 Prozent den Einsatz von Clouddiensten (+4 %P). Rund jedes dritte Unternehmen (34 Prozent) wurde bei Innovationen zur Digitalisierung von Geschäftsprozessen durch neue Software zurückgeworfen (+11 %P), 33 Prozent beim Einsatz neuer Technologien wie KI (-3 %P), 28 Prozent bei der Einbindung zusätzlicher digitaler Tools (+12 %P) und 26 Prozent beim Einsatz von Software globaler Anbieter und Plattformen (+9 %P). „Digitalisierung ist entscheidend für die Wettbewerbsfähigkeit der deutschen Unternehmen und für ihre Krisenresilienz. Digitale Technologien sind zudem die wichtigsten Innovationstreiber für alle Branchen.“, so Rohleder. „Wir brauchen eine Balance zwischen Datennutzung und Datenschutz. Datenschutz darf nicht regelmäßig dazu führen, dass Dinge nicht gemacht werden, Datenschutz muss vielmehr unterstützen, dass sie richtig gemacht werden und letztlich den Menschen dienen.“
Datenschutz-Aufsicht muss an ihrem Ruf arbeiten
Dabei kommt den Datenschutz-Aufsichtsbehörden in den Ländern und im Bund eine besondere Rolle zu. Von ihnen hat rund die Hälfte der Unternehmen (54 Prozent) schon einmal Hilfestellungen bei der Umsetzung von Datenschutzvorgaben erhalten. 32 Prozent hatten dabei persönlichen Kontakt, 22 Prozent haben nur bestehendes Informationsmaterial genutzt. 16 Prozent haben allerdings keine Hilfe erfragt – und 27 Prozent haben zwar angefragt, aber keine Antwort erhalten. Und auch die Qualität der Hilfestellung variiert offenbar stark. Von den Unternehmen, die Hilfestellungen genutzt haben, sind 12 Prozent sehr zufrieden und 28 Prozent eher zufrieden, aber 34 Prozent sind eher nicht zufrieden und 22 Prozent überhaupt nicht zufrieden. „Dem Datenschutz in Deutschland wäre gedient, wenn die Aufsicht bei der praktischen Umsetzung der Datenschutzvorgaben viel stärker unterstützen würde“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Dazu gehören praxisnahe Empfehlungen ebenso wie konkrete Auskünfte. Es muss gemeinsam darum gehen, Datenschutzvorgaben in gelebte Prozesse und Geschäftsmodelle zu übersetzen.“
Die Unternehmen, die persönliche Hilfestellungen erhalten haben, loben überwiegend (65 Prozent) die freundliche Beratung. 46 Prozent sagen zudem, dass der Ansprechpartner kompetent gewesen sei. 40 Prozent loben die schnelle Bearbeitung der Anfrage, ebenso viele konnten mit Unterstützung der Aufsichtsbehörden innovative, datengetriebene Projekte schneller umsetzen. Umgekehrt haben aber 44 Prozent den Eindruck, dass die Aufsicht ihnen vor allem Steine in den Weg gelegt hat.
Bei den Unternehmen, die bislang noch nicht bei der Aufsicht nach Hilfe gefragt haben, gibt keines an, dass keine Hilfestellungen gebraucht werden. Ein Viertel (27 Prozent) hatte keine Zeit, 20 Prozent wussten nicht, dass die Aufsicht auch berät. Häufig liegt der fehlende Kontakt aber auch am schlechten Ruf der Aufsicht. 33 Prozent meinen, die Qualität der Hilfestellung sei nicht gut, 30 Prozent haben von schlechten Erfahrungen anderer Unternehmen gehört. 16 Prozent haben Sorge, dass die Aufsicht durch Fragen erst auf Probleme aufmerksam wird, 13 Prozent befürchten, die Aufsicht sei nicht an Problemlösungen interessiert. Und 1 Prozent ist der Meinung, die Aufsicht sei gar nicht für Hilfen zuständig, sondern lediglich für Strafen.
Internationale Datentransfers sind für Deutschland unverzichtbar
Von unverändert hoher Bedeutung für die deutsche Wirtschaft sind Datentransfers in das Nicht-EU-Ausland. So geben nur 40 Prozent (2021: 44 Prozent) an, keine personenbezogenen Daten in Länder außerhalb der EU zu übermitteln. 47 Prozent transferieren solche Daten an externe Dienstleister, 22 Prozent an Geschäftspartner zu gemeinsamen Zwecken und 16 Prozent an andere Konzerneinheiten oder Töchter. Für die Unternehmen, die internationale Datentransfers ins Nicht-EU-Ausland nutzen, sind die USA das wichtigste Zielland (59 Prozent) vor Großbritannien (32 Prozent), Indien (13 Prozent), Japan (9 Prozent) und Südkorea (5 Prozent). 4 Prozent transferieren Daten nach China, ebenso viele in die Ukraine. Bedeutungslos ist dagegen Russland geworden, in das praktisch kein Unternehmen (0 Prozent) mehr personenbezogene Daten übermittelt. Vor dem Angriffskrieg auf die Ukraine lag der Anteil im Jahr 2021 noch bei 18 Prozent.
Der Wegfall des Privacy Shields hat viele Unternehmen, die Daten mit den USA austauschen, vor massive Probleme gestellt. 59 Prozent von ihnen haben in der Vergangenheit auf Basis des Privacy Shields Daten in die USA transferiert. Heute greift die große Mehrheit auf Standardvertragsklauseln zurück (91 Prozent). Jeweils ein Viertel verwendet Einwilligungen (27 Prozent) oder sogenannte Binding Corporate Rules (26 Prozent).
Die Gründe für internationale Datentransfers sind vielfältig. Am häufigsten wird die Nutzung von Cloud-Angeboten (89 Prozent) genannt, dahinter folgen die Nutzung von Kommunikationssystemen, die Daten dorthin übermitteln (67 Prozent), sowie der Einsatz von weltweiten Dienstleistern, etwa für 24/7-Support (61 Prozent). Mit deutlichem Abstand folgen die Nutzung von Services wie Abrechnung oder Datenbankmanagement (29 Prozent), eigene Unternehmensstandorte außerhalb der EU (25 Prozent) oder die Zusammenarbeit mit Partnern außerhalb der EU (16 Prozent). „Weil die Gründe für Datentransfers in Länder so vielfältig sind, lassen sie sich nicht einfach durch die Nutzung alternativer Dienste abstellen, wie häufig in der Debatte suggeriert wird“, sagt Dehmel.
Für die deutsche Wirtschaft wären die Folgen bei einem Wegfall des internationalen Datenaustauschs mit Ländern außerhalb der EU gravierend. 60 Prozent der Unternehmen, die aktuell Daten außerhalb der EU verarbeiten, könnten dann keinen globalen Security-Support mehr aufrecht erhalten, 57 Prozent könnten bestimmte Produkte und Dienstleistungen nicht mehr anbieten und 55 Prozent hätten Wettbewerbsnachteile gegenüber Unternehmen aus Nicht-EU-Ländern. Rund jedes zweite Unternehmen erwartet, dass dann globale Lieferketten nicht mehr funktionieren (48 Prozent) und höhere Kosten entstehen (47 Prozent). 37 Prozent müssten ihre Konzernstruktur komplett verändern, 30 Prozent befürchten eine schlechtere Qualität ihrer Produkte und Dienstleistungen und 20 Prozent würden im Innovationswettbewerb zurückfallen. „Datentransfers in Nicht-EU-Länder haben für die Unternehmen dieselbe Bedeutung wie der internationale Warenaustausch und globale Lieferketten. Die Politik muss zügig einen Rahmen schaffen, der zugleich Rechtssicherheit für die Unternehmen schafft und wirklich praxistauglich ist“, so Dehmel.
Was Unternehmen beim Datenschutz von der Politik erwarten
Von der Politik erwarten daher 4 von 10 Unternehmen (39 Prozent) die Durchsetzung einer politischen Lösung für internationale Datentransfers, 55 Prozent fordern eine harte Linie gegenüber den USA bei Verhandlungen für internationale Datentransfers. Ganz oben auf der Agenda für die Politik stehen nach Ansicht der Wirtschaft aber Maßnahmen für mehr Einheitlichkeit und Rechtssicherheit beim Datenschutz. So wollen 94 Prozent der Unternehmen, dass die vielen Sonder- und Spezialvorschriften zu Datenschutz und Datennutzung zusammengeführt werden. 84 Prozent sprechen sich für eine Anpassung der DS-GVO aus, 74 Prozent für eine weitere europäische Vereinheitlichung der Datenschutzvorgaben. 67 Prozent wollen, dass die föderalen Gesetze in Deutschland im Datenschutz angeglichen werden und 51 Prozent sprechen sich für eine Vereinheitlichung der Datenschutzaufsicht in Deutschland aus. 62 Prozent plädieren für einen besseren Zugang zu Daten der öffentlichen Hand für Unternehmen. „Es geht nicht um weniger Datenschutz, es geht um besseren Datenschutz“, fasst Dehmel die Position der Unternehmen zusammen. „Wir brauchen Regeln, die Unternehmen im Alltag umsetzen können und vor allem eine einheitliche Auslegung der Vorschriften, in Deutschland und in Europa. Damit lässt sich die Digitalisierung der deutschen Wirtschaft erfolgreich gestalten und damit unsere globale Wettbewerbsfähigkeit sichern, aber auch unsere Fähigkeit, globale Herausforderungen wie Klimaschutz oder gesellschaftliche Resilienz in Krisenzeiten zu meistern.“
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine genossenschaftliche Bank überprüft, die als Pilotbank sogenannte Smart-Data-Verfahren testet. Die Überprüfung ist zwar noch nicht abgeschlossen, die bislang dabei erlangten Erkenntnisse haben die LfD jedoch dazu veranlasst, Warnungen vor der Durchführung solcher Verfahren an die anderen 89 genossenschaftlichen Banken in Niedersachsen zu versenden.
Die Smart-Data-Verfahren dienen dazu, aus dem Kundenbestand gezielt Personen für bestimmte Werbemaßnahmen herauszufiltern. Hierfür werden Scorewerte gebildet, die eine Aussage darüber treffen sollen, ob eine Kundin oder ein Kunde mit hoher Wahrscheinlichkeit Interesse an einem bestimmten Produkt hat. Das kann zum Beispiel ein Immobilienkredit, eine Kreditkarte oder ein Wertpapiersparplan sein. Anschließend erhält die Kundin oder der Kunde Werbung für das entsprechende Produkt. Zur Bildung der Scorewerte werden unter anderem Zahlungsverkehrsdaten analysiert und bei einigen Verfahren auch Daten über das Wohnumfeld der Kundinnen und Kunden von externen Dienstleistern hinzugezogen.
Datenschutz – Zur Berechnung, ob jemand Interesse an einem Konsumentenkredit hat, werden beispielsweise 162 Datenfelder genutzt, darunter folgende Informationen aus den Zahlungsverkehrsdaten:
Bezug von sozialen Leistungen,
Ausgaben für Haushalt und Lebensmittel,
Höhe der Fahrzeugkosten,
Höhe der „Grundkosten“, u.a. für Energieversorger,
Höhe des Gehalts- oder Renteneingangs,
Höhe der Auszahlungen an Geldautomaten,
Umsätze in der Kategorie E-Payment, z.B. Paypal und Amazon.
Datenschutz – Zudem werden von externen Dienstleistern Daten zum Wohnumfeld angekauft und fließen in die Berechnung ein, zum Beispiel:
Anteil der Bevölkerung mit Realschulabschluss,
durchschnittliche Anzahl der Kinder pro Haushalt,
durchschnittliche Anzahl der Personen pro Haushalt,
Nettoeinkommen der Haushalte,
durchschnittliche private Kaufkraft für Hypothekendarlehen, Konsumentenkredite, Lebensversicherungen und private Krankenversicherungen,
Anteil der Bevölkerung mit Familienstand „geschieden“.
Datenschutz – Diese Verarbeitungen können weder über eine Abwägung der Interessen von Bank und betroffener Person noch über die verwendeten Einwilligungsformulare gerechtfertigt werden. Sie sind deshalb rechtswidrig.
Die Durchführung von Verhaltensprognosen auf Grundlage von Zahlungsverkehrsdaten entspricht nicht den vernünftigen Erwartungen der Kundinnen und Kunden. Das müsste aber unter anderem der Fall sein, damit eine Interessenabwägung als Rechtsgrundlage herangezogen werden könnte. Bereits in einem anderen Fall hatte die LfD Niedersachsen im Juli 2022 ein Bußgeld von 900.000 Euro verhängt, weil eine Bank die Grenzen der Interessenabwägung bei der Verarbeitung personenbezogener Daten für Werbezwecke überschritten hatte.
Auch die verwendeten Einwilligungsformulare erfüllen nicht die gesetzlichen Anforderungen, weil die Kundinnen und Kunden nicht selbst entscheiden können, ob und welche konkreten Smart-Data-Verfahren durchgeführt werden. Stattdessen können sie nur allgemein in die Profilbildung für Werbezwecke einwilligen ohne dabei steuern zu können, in welchem Umfang dies geschieht.
„Zahlungsverkehrsdaten sind sehr sensibel, weil sie Informationen über das Konsumverhalten, Beziehungen zu anderen Menschen, die wirtschaftliche Lage und persönliche Vorlieben enthalten. Sie ermöglichen so eine Vielzahl von Rückschlüssen auf das berufliche und private Leben der Betroffenen“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Es muss deshalb sichergestellt sein, dass die betroffenen Personen die Kontrolle über die Verarbeitung dieser Daten ausüben können. Ich habe mich dazu entschieden, Warnungen auszusprechen, um die Banken davon abzuhalten, schwerwiegende Verstöße gegen das Datenschutzrecht zu begehen. Ich werde auch Vor-Ort-Kontrollen durchführen, um zu überprüfen, ob die Banken die Verfahren trotz der Warnung einführen.“
Auch die Kundinnen und Kunden selbst sollten bei der Einwilligung zu Werbemaßnahmen ihrer Bank aufmerksam sein und genau hinsehen, was sie unterschreiben. Zudem ist eine einmal erteilte datenschutzrechtliche Einwilligung jederzeit und ohne weitere Voraussetzungen widerrufbar. Wer unsicher ist, ob die eigenen personenbezogenen Daten für Smart-Data-Verfahren verarbeitet werden, kann bei seiner Bank kostenfrei einen Auskunftsanspruch nach Artikel 15 Datenschutz-Grundverordnung geltend machen.
Quelle: LfD Niedersachsen
Patrick Upmann, DSGVO und Data Compliance Experte als externer Datenschutzbeauftragte für Ihr Unternehmen
InnoTrans: Bundesverkehrsminister Wissing informiert sich am VDV-Messestand über „Motics“ Branchenverband präsentiert weltweit einzigartigen, selbst entwickelten digitalen Kopierschutz für Barcodes von Handytickets.
Im Rahmen der InnoTrans haben Bundesverkehrsminister Dr. Volker Wissing sowie der Bahnbeauftragte der Bundesregierung und Parlamentarische Staatssekretär Michael Theurer heute den Messestand des Branchenverbands VDV besucht. Dabei präsentierten VDV-Vertreter ihnen den neuen Kopierschutz für Barcodes „Motics“, mit dem ÖPNV-Tickets auf Smartphones fälschungssicherer werden. Zudem läuft die Ticketkontrolle dadurch erheblich schneller und komfortabler für die Fahrgäste, weil sie bei der Prüfung keine zusätzlichen Ausweisdokumente mehr vorzeigen müssen. Das Besondere: Motics ist weltweit einzigartig und „made in Germany“, denn es wurde vom VDV eTicket Service, einer Tochter des VDV, komplett eigenständig entwickelt.
Ingo Wortmann, VDV-Präsident und Vorsitzender der Geschäftsführung der Münchner Verkehrsgesellschaft (MVG): „Die Branche arbeitet auf vielen Ebenen und mit Hochdruck an der Digitalisierung, denn sie ist ein zentraler Baustein für den unternehmerischen Erfolg und wird künftig eine noch wichtigere Rolle einnehmen. Motics ist dafür ein gutes Beispiel, damit werden digitale ÖPNV-Tickets mit Barcode kopiergeschützt. Das sichert nicht nur die Einnahmen der Verkehrsunternehmen. Die Prozesse bei der Ticketkontrolle werden dadurch einfacher, schneller und effizienter. Das ist gut für unser Kontrollpersonal und für die Fahrgäste. Bei uns in der MVG ist Motics seit diesem Jahr im Einsatz, wir gehören damit in München zu den ersten Anwendern. Die bisherigen Ergebnisse sowie das Feedback unseres Kontrollpersonals und der Fahrgäste sind sehr positiv.“
Motics gehört der deutschen ÖPNV-Branche; Tickets auf Chipkarten können dadurch schrittweise ersetzt werden Mit Motics hat der VDV eTicket Service einen offenen Standard entwickelt, der komplett der ÖPNV-Branche gehört. Damit werden die Verkehrsunternehmen vertraglich unabhängig von Mobilfunkprovidern und Smartphone-Herstellern. Und vor allem können die rund 15,5 Millionen Chipkarten, die aktuell im deutschen ÖPNV als Trägermedium für die Monats-, Job- oder Jahrestickets der Fahrgäste im Einsatz sind, schrittweise ersetzt werden. „Durch die erhöhte Sicherheit von digitalen Tickets, die durch Motics jetzt möglich ist, werden wir als Branche unabhängiger von der Chipindustrie und dem schwierigen globalen Halbleitermarkt. Momentan geht im ÖPNV ohne Chipkarten fast nichts, das wollen wir perspektivisch ändern, denn wir merken ja durch den Krieg in der Ukraine und durch die aktuelle Energiekrise, dass die deutsche Wirtschaft gut beraten ist, sich so wenig wie möglich von globalen Lieferketten abhängig zu machen. Motics ist für unsere Branche ein Schritt in diese Richtung“, so Oliver Wolff,Hauptgeschäftsführer des VDV und Aufsichtsratsvorsitzender der eTicket Gesellschaft.
Deutsche Bahn, MVV und MVG setzen bereits auf Motics Die Deutsche Bahn hat Motics als erstes umgesetzt und die Technologie bereits in den DB Navigator integriert. In diesem können Endkunden im Raum München seit Oktober 2021 Verbundtickets des MVV mit Motics-Absicherung erwerben. Daran schlossen sich die Stadtwerke München mit den Apps der MVG an und verkaufen seit Mai 2022 das komplette Ticketsortiment unter Verwendung von Motics-Barcodes. Die nächsten Projekte stehen bereits vor dem Abschluss, dazu zählt das grenzüberschreitende Projekt easyConnect in Aachen und der saarVV im Saarland. Im nächsten Jahr folgen dann die nächsten großen Partner mit dem RMV (Rhein-Main Verkehrsverbund), der BVG (Berliner Verkehrsbetriebe) und dem VGN (Verkehrsverbund Großraum Nürnberg), welche allesamt innerhalb des ersten Halbjahres 2023 an den Start gehen werden. „Die Einführung ist erfolgreich gelaufen, aber es gibt noch viel zu tun. Am Ende wollen wir mit Motics eine ähnliche Abdeckung bei den deutschen Verkehrsunternehmen und Verbünden erzielen wie wir sie heute mit der Chipkarte haben. In den Ballungsräumen sind das rund 90 Prozent der Fahrgäste“, erklärt Nils Zeino-Mahmalat, Geschäftsführer des eTicket Service abschließend.
Quelle: VDV
Patrick Upmann, DSGVO und Data Compliance Experte als externer Datenschutzbeauftragte für Ihr Unternehmen
Harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz)
Grundlage dieser Stellungnahme sind die dem DIHK bis zur Abgabe der Stellungnahme zugegangenen Äußerungen der IHKs sowie die wirtschaftspolitischen/europapolitischen Positionen des DIHK. Sollten dem DIHK noch weitere in dieser Stellungnahme noch nicht berücksichtigte relevante Äußerungen zugehen, wird der DIHK diese Stellungnahme entsprechend ergänzen.
A. Das Wichtigste in Kürze
Das Ziel der EU-Kommission, eine breitere Datennutzung industrieller Daten zu ermöglichen und das Potential für die langfristige Stärkung von Innovation und Wachstum zu nutzen, ist grundsätzlich zu unterstützen. Dafür benötigen Unternehmen verlässliche Rahmenbedingungen. Besonders mit Blick die Nutzung von Daten, an deren Entstehung mehrere Parteien mitgewirkt haben, bedarf es klarer und verständlicher Regeln, die es Unternehmen ermöglichen, rechtssicher ihre Geschäftsmodelle darauf aufzubauen. Daneben dürfen Unternehmen nicht durch Bürokratie und komplexe rechtliche Vorgaben überlastet werden.
Bei der Entscheidung über Zugangs- bzw. Nutzungsansprüche ist zu berücksichtigen, dass Daten ein wichtiger Wettbewerbsvorteil von vielen Unternehmen sind. Der Anreiz für Dateninhaber und Hersteller, datengetriebene Produkte, Dienstleistungen und Geschäftsmodelle zu entwickeln, muss erhalten bleiben. Ansonsten droht eine Abwanderung von IT- und Industriebetrieben und damit von Know-how ins Ausland. Gleichermaßen sollten Daten als Grundlage für die Entwicklung neuer Technologien und Dienstleistung in ausreichendem Maße zur Verfügung stehen. Insgesamt muss die Innovationsfähigkeit aller an der Datenwertschöpfungskette Beteiligten und der Schutz von sensiblen, wettbewerbsrelevante Informationen ausreichend gesichert werden. Dies gilt auch im Kontext mit weiteren im Data Act – E vorgesehene Regelungen, wie die Weiterverwendung von Daten des Privatsektors durch den öffentlichen Sektor, sowie den geplanten Vorschriften für Anbieter von Datenverarbeitungsdiensten.
Besonders wichtig ist aus Sicht der deutschen Wirtschaft daher:
Klare, abgrenzbare Definitionen und Voraussetzungen für die Heraus- und Weitergabe zu schaffen, um Rechts- und Planungssicherheit zu erreichen.
Zugangs- und Nutzungsrechte nicht exklusiv auf den Nutzer zu beschränken, um die berechtigten Interessen und die Innovationsfähigkeit aller Beteiligten zu gewährleisten.
Ein hohes Schutzniveau für Geschäftsgeheimnisse und geistiges Eigentum sicherzustellen. B. RelevanzfürdiedeutscheWirtschaftDaten sind ein wichtiges Wirtschaftsgut und ein entscheidender Wettbewerbsfaktor für Unternehmen. Sie können nicht nur genutzt werden, um bestehende Prozesse im Betrieb zu optimieren, sondern dienen zunehmend dem reinen Geschäftsmodell von Unternehmen. Die Betriebe möchten die Potentiale aus Daten nutzen; stoßen dabei jedoch häufig auf Hindernisse. Eine Sonderauswertung der DIHK-Digitalisierungsumfrage (Februar 2022) unter ca. 4.300 Unternehmen zeigt, dass rechtliche Unsicherheiten für Deutschlands Unternehmen das größte Problem bei der stärkeren Nutzung von Daten sind. Danach fühlen sich 57 Prozent der Unternehmen durch datenschutzrechtliche Hemmnisse behindert, für weitere 38 Prozent der Unternehmen sind rechtliche Unklarheiten beispielsweise über Nutzungsansprüche ein Hindernis. Die Schaffung von Klarheit über Zugangs-, Nutzungs- und Weitergaberechte ist für die Unternehmen daher von großer Bedeutung.Aus den Ergebnissen der Konsultation durch die IHKs und deren Mitgliedsunternehmen zu den Plänen eines Datengesetzes lässt sich ableiten, dass eine Vielzahl an Unternehmen Schwierigkeiten beim Zugang zu Daten hat. Dabei ergeben sich teilweise auch Ungleichgewichte bei den Vertragsverhandlungen zur Gewährung des Zugangs zu den Daten. Dies gilt insbesondere für kleinere Unternehmen, die aufgrund ihrer Marktstellung oftmals keine ander Wahl haben, als nicht verhandelbare Vertragspositionen zu akzeptieren. Vielmals wird schon auf technischer Ebene von großen Plattformen ein Zugang zu relevanten Daten vereitelt. Daraus lässt sich die Notwendigkeit der Schaffung eines ausgleichenden Ordnungsrahmens rechtfertigen.Der Deutsche Industrie- und Handelskammertag (DIHK) vertritt die Interessen aller Unternehmen der deutschen gewerblichen Wirtschaft, einschließlich Hersteller, Produkt- und Softwareentwickler, Nutzer sowie Anbieter von Datenverarbeitungsdiensten. Um die Interessen aller an der Datenwertschöpfungskette beteiligten Akteure bestmöglich in Einklang zu bringen und die Innovationsfähigkeit der deutschen gewerblichen Wirtschaft insgesamt zu sichern, schlägt der DIHK folgende Nachbesserungen vor:C. ImEinzelnenZu Kapitel I: Rollendefinition und Begriffsbestimmungen
Bei der Nutzung von vernetzten Geräten oder Maschinen fallen Daten an, die für unterschiedliche an der Datenwertschöpfungskette Beteiligte von Interesse sein können. Um klare und differenzierte Regelungen für das Zusammenspiel der beteiligten Akteure zu schaffen und eine rechtssichere Ausgestaltung und Umsetzung einer Regulierung zu gewährleisten, sind zunächst trennscharfe Begriffsbestimmungen notwendig. Außerdem ist zu klären, wann und für welche Produkte der Data Act gelten soll. Da das geplante Gesetz die Breite der Wirtschaft betrifft, ist eine klare Ersichtlichkeit des Anwendungsbereich und eine eindeutige Zuordenbarkeit zu den beteiligten Akteuren von besonderer Bedeutung.
1. Anwendungsbereich/Produktbegriff
Nachgeschärft werden sollte zunächst am Anwendungsbereich der Verordnung. Sinnvoll ist es dabei, wie im vorliegenden Entwurf bereits vorgenommen, Geräte auszunehmen, die lediglich Inhalte anzeigen oder abspielen bzw. aufzeichnen und übertagen. Inkonsequent ist es jedoch, Smartphones und Tablets als solche Geräte zu verstehen und auszuschließen (vgl. Erwägungsgrund, nachfolgend ErwG 15). Diese und vergleichbare Geräte zeichnen sich gerade durch die Eigenschaft aus, Daten über ihre Umgebung zu erlangen und zu sammeln (vgl. ErwG 14), weshalb eine Bevorteilung gegenüber anderen vernetzen Produkten nicht verständlich ist. Die derzeit in ErwG 14 und ErwG 15 enthaltenen Positiv- und Negativbespiele sind grundsätzlich als Orientierungshilfe nützlich, in ihrer aktuellen Form allerdings nicht nachvollziehbar. Zweckmäßig könnte es sein, eine solche, nicht abschließende Liste als Hilfe für Unternehmen bei der Gestaltung von Dienstleistungen und Produkten in einem Annex zur Verordnung einzuführen und so auch deren Aktualität zu gewährleisten.
2. Nutzerbegriff
Der Data Act -E definiert einen Nutzer als „eine natürliche oder juristische Person, die ein Produkt besitzt, mietet oder least oder eine Dienstleistung in Anspruch nimmt“ (Art. 2 Abs. 5). Daraus ergeben sich insbesondere in Konstellationen mit mittelbaren Besitzverhältnissen und längeren Besitz- bzw. Wertschöpfungsketten (z. B. Komponentenhersteller – Zulieferer – Hersteller – Nutzer) Unklarheiten bei der Nutzeridentifizierung. So ist es denkbar, dass eine Vielzahl von Nutzern existiert, was nachfolgend zu großem Aufwand und erheblicher Rechtsunsicherheit führen kann.
Es sollte daher präzisiert werden, in welchem Verhältnis die unterschiedlichen Nutzer stehen. Klar ist lediglich, dass seitens der Hersteller oder Entwickler entsprechende Strukturen geschaffen werden sollen, die den Zugang zu den Daten ermöglichen (vgl. ErwG 20). Unklar bleibt dabei, wie weit die Zugangsrechte jedes einzelnen Nutzers gehen sollen. Der Grundgedanke, der aus ErwG 18 hervorgeht, sieht vor, dass der Nutzer stets berechtigt sein sollte, den Nutzen aus allen Daten zu ziehen, die in dem von ihm genutzten Produkt oder der Dienstleistung entstehen.
Um eine Konkretisierung zu erreichen, ist es wichtig herauszuarbeiten, inwieweit durch das Nutzerverhalten ein Mehrwert bzw. eine Wertschöpfung erreicht wird. Dies wird in der Regel immer dann der Fall sein, wenn dabei ein Verhalten erfasst wird, auf dessen Grundlage Folgeannahmen getroffen werden können. Daneben wird ebenso eine Wertschöpfung durch Aggregation, Auswertung und Verarbeitung der Daten erreicht. Die dahinterstehenden technischen Prozesse wiederum funktionieren immer wieder identisch, unabhängig vom Nutzer.
3. Begriff des Dateninhabers
Der Data Act -E definiert den Dateninhaber in Art. 2 Abs. 6 als eine juristische oder natürliche Person, die durch die Kontrolle über die technische Gestaltung des Produkts und der damit verbundenen Dienste dazu in der Lage ist, bestimmte Daten bereitzustellen.
Daten werden häufig in einer Cloud gespeichert, die von einem Dritten als Dienstleister betrieben wird. Unklar ist, inwieweit – bei technischer Möglichkeit – auch dieser Dritter zur Herausgabe verpflichtet sein soll. In dieser Rolle müsste der Dritte dann auch die Wahrung von Geschäftsgeheimnissen sicherstellen, wozu er unter Umständen mangels Kenntnis nicht in der Lage ist. Nützlich wäre insoweit eine Klarstellung, dass bei der Einbindung von Dritten die Datenherausgabe nur auf Anweisung des Herstellers erfolgen kann.
4. Verhältnis Nutzer zu Dateninhaber
Ausgehend von der Definition des Dateninhabers in Art. 2 Abs. 6 des Data Act -E ist unklar, was passiert, sobald ein Nutzer die Daten vom Dateninhaber bereitgestellt bekommen hat. Ab diesem Zeitpunkt hat der Nutzer auch die Kontrolle über die Daten. Es wäre insofern denkbar, dass er seinerseits zum Dateninhaber wird (Rückschluss aus ErwG 30 letzter Satz). Damit unterläge er seinerseits den Pflichten zur Bereitstellung von Daten im Rahmen dieser Verordnung. Der Nutzer, der Daten vom Dateninhaber erhalten hat, könnte folglich von weiteren Nutzern in Anspruch genommen werden auf Zugang zu Daten. Sollte dies der Fall sein, so ist fraglich, ob Weitergabebeschränkungen, die in einem vorgelagerten Dateninhaber – Nutzer – Verhältnis vereinbart wurden, der Herausgabe der Daten entgegengehalten werden können. Eine Klärung dieses Konflikts ist unbedingt notwendig, um die gezielten Rechtsmissbrauch und die Umgehung von Geschäftsgeheimnissen zu vermeiden.
Data Act – Rechtsrahmen für die Nutzung von Unternehmensdaten noch nicht konkret und praxisnah genug.
Überall, wo produziert wird, fallen auch Daten an – die bislang nur in geringem Maß genutzt werden. Mit dem „Data Act“ möchte die EU-Kommission eine breitere Verwendung von Daten ermöglichen, die von Maschinen oder sonstigen Geräten generiert werden. Ein nach Einschätzung des Deutschen Industrie- und Handelskammertages (DIHK) unterstützungswertes Ziel, allerdings gelte es, nachzuschärfen.
Data Act – die Europäische Kommission hat ihren Entwurf für den „Data Act“ im Februar 2022 vorgelegt, abrufbar ist eine deutsche Version auf der Website der EU-Kommission.
Der DIHK hat nach umfassenden Sondierungen mit den Industrie- und Handelskammern und der betroffenen Wirtschaft zu den Plänen am 13. Mai eine Stellungnahme eingereicht. Darin unterstützt der DIHK das Ziel der Kommission, einer breitere Nutzung industrieller Daten zu ermöglichen.
Allerdings dürfen die Zugangs- und Nutzungsrechte nicht ausschließlich auf die bisher im Entwurf definierten Nutzer („Person, die ein Produkt besitzt, mietet oder least oder eine Dienstleistung in Anspruch nimmt“) beschränkt werden. Denn die gesamte Wirtschaft brauche entlang der Besitz- und Wertschöpfungsketten klare Regelungen für industriell beziehungsweise maschinell gewonnene Daten. Andernfalls könne der Vorschlag in der aktuellen Form durch seine Unbestimmtheit Hemmnisse für Innovationen aufbauen könnte.
Data Act – aktuell beschäftigen sich auch der EU-Ministerrat und das Europäische Parlament mit der geplanten „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“, wie der „Data Act“ (deutsch Datengesetz) offiziell heißt. Wenn Rat und Parlament eine Position zu den Plänen entwickelt haben, geht es mit der Gesetzgebung im so genannten Trilog zwischen den drei Institutionen weiter.
Damit der „Data Act“ wie gewünscht innovative, datenbasierte Geschäftsmodelle fördern kann, schlägt der DIHK unter anderem vor,
einen klaren und abgrenzbaren Anwendungsbereich zu schaffen und auch die entsprechenden Begrifflichkeiten genauer zu definieren,
Zugangs- und Nutzungsrechte nicht exklusiv auf die Nutzer zu beschränken, um die berechtigten Interessen und die Innovationsfähigkeit aller Beteiligten zu gewährleisten, und somit auch Dateninhabern ein Nutzungsrecht einzuräumen,
Geschäftsgeheimnisse und geistiges Eigentum wirksam zu schützen,
Regelungen vorzusehen, die Wettbewerbsnachteile gegenüber Unternehmen etwa in den USA oder in China begrenzen.
Datenschutz – die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig.
Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz– Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.
So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.
Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Datenschutz – der BfDI, Professor Ulrich Kelber, begrüßt die Entscheidungen des Europäischen Gerichtshofes (EuGH) zur deutschen Vorratsdatenspeicherung: Der EuGH hat noch einmal sehr deutlich gemacht, dass eine anlasslose Speicherung von Verkehrs- und Standortdaten, wie sie im deutschen Recht vorgesehen ist, mit dem europäischen Recht nicht vereinbar ist.
Die präventive, allgemeine und unterschiedslose Speicherung der Verkehrs- und Standortdaten stellt einen schwerwiegenden Eingriff in die Grundrechte dar. Dazu sagte der BfDI: Mein großer Wunsch: Ab heute muss endgültig Schluss sein mit den Debatten über anlasslose Vorratsdatenspeicherungen. Wie oft sollen denn die maßgeblichen Gerichte noch ein Stopp-Signal setzen?
Der EuGH hat nochmals betont, dass die Vorratsdatenspeicherung tiefe Einblicke in die Persönlichkeit eines jeden Einzelnen ermöglicht, bis hin zur Erstellung von persönlichen Netzwerken und Profilen von einzelnen Personen. Damit wird die Bedeutung eines freien und offenen Internets gestärkt.
Eine anlasslose und umfassende Datenspeicherung darf es nicht geben. Sie ist aus Sicht des BfDI auch gar nicht erforderlich. Natürlich braucht Freiheit Sicherheit, aber eine effektive Strafverfolgung im Internet ist auch ohne die Vorratsdatenspeicherung möglich. Denn es gibt längst wirkungsvolle Alternativen, wie die „Login-Falle“ oder das vom EuGH erwähnte „Quick Freeze-Verfahren“. In beiden Fällen geht es darum, erst bei einem konkreten Verdacht relevante Informationen zur Strafverfolgung zu erfassen.
Das Gericht hat die Grenzen nun erneut klar festgelegt. Ob der Gesetzgeber den vom EuGH vorgegebenen engen Korridor ausnutzen wird, bleibt abzuwarten. Der BfDIwird diesen Prozess kritisch begleiten und steht zur Beratung jederzeit bereit.
