Schlagwort-Archive: IT-Sicherheit

Ankündigung: Sydow, Europäische DS-GVO (Kommentar)

In eigener Sache:

In wenigen Tagen (nämlich am 4.8.2017) soll endlich der Datenschutz-Kommentar Sydow, Europäische Datenschutzgrundverordnung, erscheinen, an dem ich mitwirken durfte.

Bis zum Erscheinen hat es lange gedauert, allerdings hat der späte Erscheinungstermin es auch ermöglicht, zumindest teilweise schon vorher erschienene Literatur zu berücksichtigen. Interessanterweise zeigen sich dadurch bereits jetzt eine Vielzahl von potentiellen (und tatsächlichen) Streitpunkten.

Ich selbst habe die Art. 25 (Datenschutz durch Technik) und 32 (Sicherheit der Verarbeitung) kommentiert (außerdem noch Art. 4 Nr. 12 (Verletzung des Schutzes personenbezogener Daten)). Dass ich Art. 25 und 32 kommentieren konnte, hat mich besonders gefreut, da sie nach meiner Einschätzung von erheblicher Bedeutung sind.

1. Art. 25

Für Art. 25 hat mir der Herausgeber dankenswerterweise relativ viel Freiraum gelassen. Auf knapp 30 Seiten und 84 Randnummern habe ich versucht, mich dem für das deutsche und europäische Datenschutzrecht im Wesentlichen „neue“ (es gab allerdings schon Ansätze für Vorläufer, dazu Rn. 8 ff.) Konzept des „Privacy by Design“ zu nähern. Nach einer Darstellung der Grundlagen und der Entwicklung des Konzepts und der Entstehung der Norm habe ich mich bemüht, alle wesentlichen Begriffe und Zusammenhänge der drei Absätze in Art. 25 abzuarbeiten. Schwerpunkte habe ich dabei auf Fragen der Risiko- und Folgenabschätzung und der Maßnahmen (Zeitpunkt, Abwägungskriterien, Ermessen und konkrete Einzelmaßnahmen) gelegt. Nach Privacy by Default (Abs. 2) habe ich dann auf die Darstellung der in Art. 25 angelegten „Anreizsysteme“ Wert gelegt. Der Adressatenkreis von Art. 25 ist nämlich – was im Gesetzgebungsverfahren schon erkannt wurde (dazu Rn. 16) – im Grunde zu eng, das weite Verständnis insbesondere die Einbeziehung von IT-Herstellern, konnte sich aber nicht durchsetzen. Verschiedene Anreize sollen daher nach meiner Einschätzung – mittelbar – auch Dritte zur Einhaltung der Vorgaben von Art. 25 (und damit der Datenschutzgrundsätze) bewegen.

Dabei gibt es für die künftige Diskussion aus meiner Sicht in Rechtsprechung und Literatur mehrere Knackpunkte, die ich hier nur anreißen möchte (meine Vorschläge finden sich in der Kommentierung):

  • Stand der Technik (Rn. 37 ff.): Wichtig wird sein, was als Stand der Technik anzusehen ist. Die ENISA hat bisher einen Bericht zur Analyse des Reifegrades von Datenschutztechniken vorgelegt, der hier hilfreich sein kann. Konkret wird nach meiner Ansicht die Frage interessant, ob eine Software, die der Verantwortliche einkauft oder mietet, dem Stand der Technik entsprechen kann, auch wenn sie die Vorgaben der DSGVO nicht erfüllt?
  • Implementierungskosten (Rn. 45 ff.): Weiter wird spannend, welchen Stellenwert Datenschutzaufsichtsbehörden und Gerichte bei der Abwägung den Implementierungskosten beimessen. Wann ist eine Maßnahme zu teuer, um verlangt werden zu können? Muss/kann berücksichtigt werden, wie wirtschaftlich leistungsfähig der Verantwortliche ist?
  • Konkrete Maßnahmen (Rn. 49 ff.): Auf Rn. 49 ff. habe ich verschiedene bereits mehr oder weniger bekannte Maßnahmen behandelt, die im Rahmen von Art. 25 – vom Verantwortlichen – abhängig vom Einzelfall – erwartet werden können. Dabei war mein Bestreben, möglichst konkret Maßnahmen darzustellen, um die Implementierung in der Praxis zu vereinfachen.
  • Mittelbare Anreize (Rn. 77 ff.): Ich habe mir weiter Gedanken darüber gemacht, wie nach Art. 25 Hersteller und andere betroffen sind. Hier werden Fragen des Wettbewerbs, der Auswahlentscheidungen des Verantwortlichen nach Art. 25 Abs. 1, aber auch der Mängelgewährleistung (ist es ein Mangel, wenn ein Produkt Datenschutzvorschriften nicht einhält, s. dazu kürzlich Berichte über eine Klage der Verbraucherzentrale NRW gegen Media Markt wegen Sicherheitslücken in Android-Handys) eine wesentliche Rolle spielen.

2. Art. 32

Art. 32 habe ich auf rund 15 Seiten und 36 Randnummern bearbeitet, wobei in Teilen (insbesondere zur Risikoabschätzung auf die Ausführungen bei Art. 25 verwiesen werden konnte. Anders als bei Art. 25 gibt es für Art. 32 im europäischen und nationalen Recht Vorläufer, insbesondere § 9 BDSG i.V.m. der zugehörigen Anlagen. Eine Kernaufgabe in der Kommentierung ist daher, aufzuzeigen, inwiefern der Verantwortliche, der sich bisher an § 9 BDSG orientiert hat, nachjustieren muss. Auch hier geht es um die Bestimmung einzelner, konkreter Maßnahmen (Rn. 9 ff.), die vom Verantwortlichen im Einzelfall zu erwarten sind. Art. 32 Abs. 1 lit. a)-d) greifen dabei zum einen Altbekanntes auf. Zum anderen gibt es aber auch neue Punkte, die berücksichtigt werden müssen. Auch inwiefern Art. 32 Abs. 4 die bisher aus §§ 9, 5 und 11 BDSG bekannten Pflichten umfasst, ist meiner Meinung nach nicht ganz einfach.

Insgesamt wird es nach meiner Einschätzung um Art. 32 weniger Streit geben als um Art. 25. Das mindert aber keineswegs seine Bedeutung . Ganz im Gegenteil, die Bußgeldvorschriften und insbesondere der Schadensersatzanspruch nach Art. 82 werden für eine bessere Beachtung von Grundsätzen der IT-Sicherheit sorgen, was angesichts der vielen Datenverluste und Berichten von unsicheren Systeme (insbesondere im Bereich Internet of Things) auch dringend Not tut.

 

Ich freue mich auf jeden Fall auf die Diskussionen, die sich wie schon gesagt, bereits jetzt abzeichnen.

VAF-Gutachten: „Das Unternehmen als Internet Access Provider“

Der VAF Bundesverband Telekommunikation e.V. hat bereits im Sommer 2013 eine Zusammenfassung eines Gutachtens „Das Unternehmen als Internet Access Provider – Rechtliche Aspekte des Angebots von Internetzuga?ngen in Hotels, Cafe?s, Krankenha?usern, Universita?ten, Flugha?fen und a?hnlichen Einrichtungen“ (Zusammenfassung, PDF, 300kb) veröffentlicht (Pressemitteilung dazu hier). Es handelt sich um ein Gutachten, das von Fachanwalt für IT-Recht Wolfgang Müller verfasst wurde.

Auf der Seite des VAF steht eine 8-seitige Zusammenfassung des Gutachtens zum Download zur Verfügung. Das Gutachten selbst in der Gesamtfassung liegt mir leider nicht vor. Dennoch möchte ich kurz darstellen, was sich aus der online verfügbaren Zusammenfassung ergibt.

Inhaltlich geht es generell um die Frage der Bereitstellung von Internet-Zugang. Deutlich wird aber, dass es im Wesentlichen um den Betrieb von WLANs geht. Die Zusammenfassung hat folgendes Inhaltsverzeichnis:

  1. Einleitung
  2. ?Begriffe
  3. Keine Haftung für fremde Informationen
  4. Sicherheit ja, Überwachung nein
  5. Enge Grenzen für Speicherung und Weitergabe von Daten
  6. Abschlusskommentar
  7. Praxishinweise
  8. Anhang

Zu den Aussagen des Gutachtens:

Wichtig (und richtig) ist bereits die Feststellung, wer Access Provider ist:

Unternehmen wie Hotels, Krankenhäuser usw. können ihren Gästen, Patienten usw. Internetzugänge anbieten. Sie sind dann Internet Access Provider.

Anschließend nimmt das Gutachten bereits in der Einleitung das wesentliche Ergebnis der Untersuchung vorweg:

Vor dem Hintergrund der gegebenen Gesetzeslage, der einschlägigen und höchstrichterlichen Rechtsprechung sowie Kommentierung in der juristischen Fachliteratur erbringt das Gutachten als wesentliches Ergebnis die Klarstellung, dass das bloße Angebot des Zugangs zum Internet keine Haftung des gewerblichen Zugangsanbieters für eventuelle Rechtsverletzungen durch Nutzer verursacht.

Unter Punkt 4 wird dieser Punkt allerdings wieder etwas eingeschränkt. Die Zusammenfassung empfiehlt nämlich die Verschlüsselung des WLANs. Diese Empfehlung geht vermutlich auf das Urteil des BGH – Sommer unseres Lebens (dazu hier, hier, hier und hier) und ggf. auf das Urteil des LG Frankfurt (LG Frankfurt, Urt. v. 18.8.2010 – 2-6 S 19/09: Ersatz für Rechtsanwaltskosten zur Verteidigung gegen Filesharing-Abmahnung – PDF) zurück, die beide die Verschlüsselung angesprochen hatten. Ähnlich hatte sich das LG Frankfurt auch im Jahr 2013 nochmal geäußert (LG Frankfurt am Main, Urt. v. 28.06.2013 – 2-06 O 304/12 – Ferienwohnung; dazu auch Mantz, GRUR-RR 2013, 497). Aus der Zusammenfassung ist aber nicht ersichtlich, ob das Gutachten die Frage behandelt, ob dies auch bei öffentlich zugänglichen WLANs gilt. Bei solchen öffentlichen WLANs gilt es nämlich zu berücksichtigen, dass sie ganz bewusst offen gelassen werden, und dies auch Teil eines Geschäftsmodells ist. Wer verschlüsselt, verbaut nämlich potentiellen Kunden den Zugang – und sich das Geschäft. Im Ergebnis kann eine Verschlüsselung des WLANs daher grundsätzlich nicht verlangt werden (eingehend dazu Sassenberg/Mantz, WLAN und Recht, Rn. 228 mit weiteren Nachweisen und Argumenten).

Richtig ist dann allerdings die Schlussfolgerung im Gutachten (hier zitiert ohne den vorangestellten, einschränkenden Zusatz):

der Versuch, einen Access Provider über den Weg der »Störerhaftung« in Anspruch zu nehmen, [wird] regelmäßig an folgender Tatsache scheitern: Das einzig effektive Mittel, um entsprechende Störungen zu unterlassen bzw. von vornherein zu verhindern, würde darauf hinauslaufen, dass der Provider den Geschäftsbetrieb einstellen müsste.

Zur Frage der Sicherheit des Betriebes führt die Zusammenfassung aus:

Dazu zählen etwa Authentifizierung, Verschlüsselung und technische Isolierung der Nutzer.

Dabei wird nicht ganz klar, ob es sich hierbei um eine Frage im Rahmen der Störerhaftung, oder im Rahmen der Sicherheit des Netzwerks nach § 109 TKG handelt. Eine der regulatorischen Pflichten des Betreibers eines WLANs ergibt sich nämlich aus § 109 TKG. Abhängig von Größe und Struktur des Netzwerks sind dabei möglicherweise verschiedene Maßnahmen erforderlich (ausführlich mit Checklisten und Übersichten Sassenberg/Mantz, WLAN und Recht, Rn. 156 ff.).

Zur Frage der Beauskunftung von Daten verweist die Zusammenfassung unter Punkt 5 darauf, dass die datenschutzrechtlichen Bestimmungen von TKG, TMG und BDSG penibel einzuhalten sind. Wenn dadurch keine Daten vorhanden sind, können diese auch bei Auskunftsverlangen nicht herausgegeben werden. Daten, die für Abrechnungszwecke nicht erforderlich seien, müssten zudem unverzüglich gelöscht werden. Für technische Zwecke könnten z.B. dynamische IP-Adressen maximal 7 Tage aufbewahrt werden. Dies ist jedenfalls die Auffassung des BGH (BGH, Urt. v. 13. 01. 2011 – III ZR 146/10, NJW 2011, 1509 (1510); ebenso OLG Frankfurt, Urt. v. 28. 08. 2013 – 13 U 105/07, ZD 2013, 614). Diese Darstellung ist grundsätzlich richtig. Im Aufbau und Betrieb eines WLANs stellen sich aber auch an ganz anderen Stellen datenschutzrechtliche Fragen (z.B. im Zusammenhang mit einer Splash-Page, mit Registrierungen, Kundenschutz, Zahlungsverkehr etc., auch Standortdaten können durchaus anfallen). Ob das Gutachten in der Gesamtfassung darauf eingeht, ist nicht bekannt. Die Zusammenfassung lässt dies nicht vermuten. Eingehend werden die Datenschutzfragen beim Betrieb eines WLANs übrigens (Achtung, Werbung!) dargestellt bei Sassenberg/Mantz, WLAN und Recht, Rn. 112 ff.

Insgesamt reißt die Zusammenfassung einige der Fragestellungen beim WLAN an. Die Spezialitäten beim Betrieb von WLANs in Krankenhäusern oder Flugzeugen werden leider (in der Zusammenfassung) nicht weiter dargestellt. Fragen zum Vertragsschluss, zum Aufbau durch die öffentliche Hand und durch Privatpersonen sind offenbar außen vor geblieben. Als Fazit bleibt für mich, dass sich aus der Zusammenfassung nicht genug ersehen lässt, dass aber vermutlich auch das Gesamtgutachten nicht auf alle relevanten Fragen eingeht. Ich persönlich würde jedenfalls gerne einmal das gesamte Gutachten lesen …