Datenschutzbehörde  Datenschutz Europa privacy service
 
2002/10/22 EG-RL Datenschutz hat Anpassungsbedarf
Datenverkehr im Online-Bereich weitgehend unverstanden - EU-Regelungen zum internationalen Datenverkehr orientieren sich an IT-Situation der späten 80er-Jahre - Chance der EU für richtungweisendes globales Modell zum Schutz der Privatsphäre - Exotische Position der österreichischen Datenschutzkommission

Für den internationalen Datenverkehr sind grundsätzlich drei Bestimmungen der EG-Richtlinie Datenschutz von Bedeutung. Diese regeln, welches Recht wann anzuwenden ist (Art.4), welche Staaten zur EU gleichwertiges Schutzniveau haben (Art. 25) und unter welchen Voraussetzungen in andere Staaten Daten übermittelt werden dürfen (Art. 26).


TRADITIONELLER DATENVERKEHR WEITGEHEND GEREGELT

Die traditionelle Übermittlung einzelner Daten, etwa im Zuge des Zahlungsverkehrs, der internationalen Zusammenarbeit oder bei Bestellungen, ist durch diese Bestimmungen im wesentlichen ausreichend geregelt.

Völlig unbefriedigend geregelt ist der Datenverkehr in vernetzten Systemen, wie dem Internet und bei Online-Anwendungen, wie e-commerce und Telebanking.


DATENSCHUTZPROBLEME BEI DATENNETZEN

Szenario (a): Im Rahmen des elektronischen mail-Verkehrs werden die Daten auf einem ausländischen Mailserver zwischengespeichert.
Szenario (b): Im Rahmen eines Supportfalls wird der nationale Support-Anruf mit einem Supportcenter in einem Drittland verbunden.
Szenario (c): Die Durchführung der Buchhaltung oder die Datenerfassung von Bestellungen findet in einem Drittland statt.

Wesentliches gemeinsames Merkmal dieser Beispiele ist, dass das Verfügungsrecht über die Daten (die Verantwortlichkeit) beim ursprünglichen Auftraggeber bleibt und er nur verschiedene 'Erfüllungsgehilfen' (Telekom- und Internet-Provider, fremde Rechenzentren, freiberufliche Programmierer und Datenerfasser) zur Erfüllung seiner Aufgaben heranzieht.

Diese technischen Datenübermittlungen unterliegen denselben EU-Regelungen wie ein Datenverkehr zwischen Unternehmen.


EU-RICHTLINIE HAT DRITTSTAATENWIRKUNG

Für die Fälle, das Unternehmen von Drittstaaten Einrichtungen der EU nutzen, um bestimmte Datenverarbeitungsaufgaben zu erledigen oder umgekehrt, im Zuge der Datenverarbeitung ein Teil davon außerhalb der EU erfolgt, ergeben sich völlig neue Perspektiven.

Wendet man den Art. 4(1)c der EG-RL an, dann genießen auch Datenverwendungen, die bloß aus technischen Gründen von einem Drittland im Bereich eines EU-Staates durchgeführt werden, den vollen Schutz der EG-Richtlinie.

Dies hat auch für Personen aus Staaten der Kategorie 5 unmittelbare Konsequenzen. Sie könnten sowohl die in der EG-RL festgelegten und national geregelten Betroffenenrechte gegenüber Verantwortlichen aus Drittländern geltend machen, als auch bei Datenmißbrauch gegen einen Betreiber eines Drittlandes vor dem zuständigen Gericht des entsprechenden EU-Staates vorgehen. Die - auch in der EU-Konferenz Datenschutz im Oktober 2002 ausführlich diskutierte Drittwirkung ist jedoch weitgehend unverstanden und umstritten.


EU-DATENSCHUTZRICHTLINIE KANN VORBILDFUNKTION HABEN

Tatsächlich könnte die Bereitschaft der EU, Klagen zur Privatsphäre auch von Betroffenen von Drittstaaten gegen Betreiber von Drittstaaten, sofern ein Teil der Datenverwendung innerhalb der EU stattfindet, eine klares Signal zur weltweiten Stärkung der Persönlichkeits- und Menschenrechte darstellen.

Tatsächlich belegten die auf der Konferenz vorgelegten australischen und argentinischen Datenschutz-Präsentationen die große Vorbild- und Signalwirkung der EU-Vorstellungen zum Schutz der Privatsphäre.

Die EU hätte mit diesem Ansatz auch die Möglichkeit sich positiv von den immer umfassenderen Überwachungsvorstellungen der USA abzuheben und ein humanistisches Gegengewicht zu setzen.


DATENSCHUTZPROBLEME BEI VERNETZTEN (VERTEILTEN) DATENVERWENDUNGEN

Szenario (d): Ein Konsument nimmt an einer interaktiven Onlineumfrage teil.
Szenario (e): Ein Konsument nutzt Telebanking oder Online-Shopping. Im wesentlichen führt ein Online-Datenverkehr zwischen EU-Staaten und Drittstaaten zu erheblichen Problemen und Rechtsunsicherheiten. Diese Situation ist durch die EG-Richtlinie nur sehr mangelhaft erfaßt und weitgehend unverstanden.

Die von MR Kotschy, als österreichische Datenschutzbeauftragte im Rahmen der EU-Konferenz Datenschutz im Oktober 2002 vertretene Position, dass in diesem Fall der Konsument (etwa als Telebank-Kunde) der Auftraggeber (= Verantwortliche für die Datenverarbeitung) sei und die durchführende Bank bloß Erfüllungsgehilfe (also Dienstleister) wird EU-weit - freundlich gesagt - als exotisch eingestuft.

Auch die durch einen US-Teilnehmer vertretene Meinung, daß jeder Besuch eines US-Webstores wie ein Flug zu einer Shopping-Mall in den USA anzusehen ist und daher selbstverständlich US-Recht gilt, wurde weitgehend abgelehnt.


(DATEN)SCHUTZNIVEAU VON TECHNISCHER WEBSITE-REALISIERUNG ABHÄNGIG?

Tatsächlich hängen die anwendbaren Regelungen der EG-Richtlinie und das daraus resultierende Schutzniveau von einer Unzahl technischer Details ab, die jedoch im Regelfall für den Konsumenten weder durchschaubar, noch beeinflußbar sind.

Wird etwa bei einer Onlineumfrage nur eine statische Webseite zur Verfügung gestellt, die der Benutzer ausfüllen und dann absenden kann, dann kann zur Beurteilung der Datenübermittlungsvorgänge, ein klassisches Papierformular als Analogie herangezogen werden. Die Übermittlung erfolgt durch das Absenden des ausgefüllten Formulars, analog dem Versenden des Papierformulars, mit Zustimmung des Betroffenen.

Wird jedoch das Onlineformular als 'Inframe' einer österreichischen Web-Site präsentiert, tatsächlich aber von einem US-Server abgerufen und dorthin geschickt, dann wird man nicht mehr von einer Zustimmung im Sinne der EG-Richtlinie sprechen können.

Noch schwieriger wird die Situation, wenn nicht bloß ein statisches Formular ausgefüllt wird, sondern das Formular durch ein spezielles Programm, ein Java-Skrip oder ein PlugIn präsentiert wird. Diese Programme müssen auf den Computer des Konsumenten geladen, installiert und aufgerufen werden. In diesem Fall wird plötzlich der Konsument bzw. dessen Computersystem zum Erfüllungsgehilfen ('Dienstleister') für den Betreiber des Onlineformulars. Wenn dieser Vorgang innerhalb der EU stattfindet, wird der Web-Site-Betreiber gem. §4 EG-RL dem nationalen Datenschutzrecht jenes Landes unterworfen, in dem der Konsument sitzt, unabhängig davon, ob er seinen Sitz in einem EU-Staat hat oder in einem unsicheren Drittstaat.

Abstrakt formuliert würden die jetztigen Regelungen dazu führen, dass bei serverbasierten Online-Anwendungen das Datenschutzrecht des 'Homeland' des Servers gilt, bei clientbasierten Anwendungen des Datenschutzrecht des Standorts des Konsumenten-PC's.

Eine offensichtlich unhaltbare Situation, die stark an den Beginn der 90-er Jahre erinnert, damals war der Schutz der Privatsphäre abhängig davon, ob Daten automationsunterstützt verarbeitet wurden oder nur manuell aufgehoben wurden, unterschiedlich geregelt war.


ÄNDERUNGSBEDARF BEI INTERNATIONALEM DATENVERKEHR GEGEBEN

Mittelfristig ist die derzeitige EU-Definition welches einzelstaatliches Recht im Datenverkehr anzuwenden ist (EG-RL Art. 4) im Zeitalter vernetzter Systeme unhaltbar.

Im Verkehr zwischen Datenverarbeitungsverantwortlichen sind die Bestimmungen des Niederlassungsprinzips grundsätzlich ausreichend, hier werden nur Anpassungen zum Schutz der Privatsphäre im technischen Datenverkehr über Drittstaaten erforderlich sein. Dies könnte durch die Verpflichtung zu technischen Schutzmaßnahmen geregelt werden, wenn die Möglichkeit oder die Gefahr besteht, dass Daten über unsichere Drittstaaten transportiert werden.

Im Datenverkehr zwischen (Online-)Betreibern und Konsumenten, genauer gesagt zwischen Betreibern und Personen, deren Daten im Zuge eines Onlineverfahrens ermittelt und verwendet werden, muß eine radikale Neuorientierung Platz greifen. Hier wird nur eine Art Quellenprinzip langfristig funktionsfähig bleiben.

Als anwendbares Recht wird das Recht jenes Ortes gelten, an dem die Daten tatsächlich erstmals angefallen (Datenquelle) sind. Damit entfallen für die Konsumenten alle Rechtsunsicherheiten, welches Datenschutzrecht gerade für welche Website gilt (mit derzeit paradoxen Ergebnissen).

Umgekehrt ist diese Regelung Online-Anbietern zuzumuten und für sie administrierbar, da für bloße Werbe-Sites keine personenbezogenen Daten erhoben werden müssen und keine spezifischen Regelungen zu beachten sind. Dort wo Daten mittels Online-Diensten erhoben werden, etwa bei einer Bestellung, bei einem Infodienst, bei Telebanking Geschäftstätigkeiten durchgeführt bzw. angebahnt werden muß der Betreiber sowieso immer entscheiden, ob er mit Personen eines bestimmten Staates Geschäfte machen will oder nicht.

Ein Online-Shop-Store ist am ehesten mit dem Haustürgeschäft oder mit einer Filiale in räumlicher Nähe zum Konsumenten zu vergleichen und nicht mit einem globalen Central-Store irgendwo im Mittelwesten der USA, zu dem jeder Konsument zu jedem Einkauf extra anreist.

Unhaltbar ist auch die bloß in österreich existierende künstliche Unterscheidung zwischen Auftraggebern und Dienstleistern. Der Begriff des EDV-Dienstleisters steht im Widerspruch zur üblichen Verwendung des Begriffes 'Dienstleister' als Erfüllungsgehilfen und sollte ersatzlos gestrichen werden.


Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2025 Information gemäß DSGVO webmaster