Brexit - Was passiert, wenn Großbritannien „Drittland“ wird?

MMR 2016, 501     Für viele überraschend haben sich die Briten am 23.6.2016 mit 52%iger Mehrheit für einen Austritt aus der EU entschieden. Noch ist unklar, wann der „Brexit“ vollzogen wird. Die neue Premierministerin Theresa May muss zunächst die für den Austritt erforderliche förmliche Austrittserklärung an den Europäischen Rat gem. Art. 50 EUV übermitteln. Ab dann wird der Austritt spätestens nach zwei Jahren automatisch wirksam. Eine Verlängerung dieser Phase ist nur mit einstimmigem Ratsbeschluss möglich (mehr zum Austrittsprozedere Thiele, EuR 2016, 281).

 

Schon jetzt ist klar, dass der Brexit weitreichende Konsequenzen haben und die Zweijahresfrist kaum ausreichen wird, um einen geordneten Übergang sicherzustellen. Zu vielfältig ist die Verzahnung von nationalem britischen Recht und britischer Rechtsprechung mit den EU-Vorgaben und zu weitreichend die Regelungsbreite der europäischen Harmonisierungsbemühungen. Auswirkungen sind in allen Rechtsbereichen zu erwarten, z.B. dem Steuerrecht, dem Bankenrecht, dem Patent- und Markenrecht und dem Vertragsrecht (Rom I-Verordnung (EG) Nr. 593/2008). Wichtige Europäische Behörden, wie z.B. die Bankenaufsicht (EBA), die Europäische Arzneimittel-Agentur (EMA) oder das Einheitliche Patentgericht (UPC) werden mittelfristig sehr wahrscheinlich keinen Sitz oder keine Abteilung (mehr) in London haben.

 

Implikationen des Brexit sind aber auch im Datenschutzrecht zu erwarten. Besonders pikant ist hier, dass man gerade erst die EU-Datenschutzgrundverordnung (DS-GVO) verabschiedet hat, die ab dem 25.5.2018 in allen EU-Mitgliedstaaten automatisch eine Vollharmonisierung wesentlicher datenschutzrechtlicher Bestimmungen bewirkt. Für Großbritannien wird die Verordnung allenfalls in einer Übergangsphase zwischen dem 25.5.2018 und dem Abschluss der Austrittsverhandlungen gelten. Dies bedeutet, dass damit eine Stimme im sog. European Data Protection Board (der Nachfolgeorganisation der Art. 29-Datenschutzgruppe, die nunmehr für die Streitbeilegung und Vorgabe von Leitlinien zuständig ist) fehlt, die für etwas liberalere Datenschutzanwendung steht. Weitaus gravierender dürfte aber sein, dass Großbritannien mit dem Austritt aus der EU nur noch „Drittland“ im datenschutzrechtlichen Sinne ist, wie z.B. die Schweiz, Japan oder Südafrika. Das bedeutet, dass ab diesem Zeitpunkt personenbezogene Daten im Regelfall nur dann an Datenempfänger in Großbritannien übermittelt werden dürfen, wenn

 

  • ein Angemessenheitsbeschluss der EU-Kommission vorliegt, der Großbritannien als Land mit „angemessenem Datenschutzniveau“ anerkennt; oder
  • die Unternehmen die Übermittlung über sog. Standardvertragsklauseln der EU-Kommission oder verbindliche konzerninterne Datenschutzvorschriften (sog. Binding Corporate Rules - BCRs) absichern.

 

Letztere Alternative ist - wie die Praxis zeigt - oftmals ein mühsamer Weg. BCRs sind bisher nur für größere Unternehmensgruppen eine wirkliche Alternative und gelten nur gruppenintern, aber auch die Standardvertragsklauseln sind in der Praxis sehr inflexibel und erfordern ein aufwändiges Vertragsmanagement.

 

Nun sollte man eigentlichen denken, dass die Anerkennung von Großbritannien als Land mit „angemessenem Datenschutzniveau“ ein Selbstläufer ist, immerhin hat Großbritannien die RL 95/46/EG (Datenschutz-Richtlinie - DS-RL) in nationales Recht umgesetzt und lebt europäischen Datenschutz seit über zwanzig Jahren. Allerdings führt die DS-GVO weitreichende neue Regelungen ein, die so bisher nicht im englischen Recht umgesetzt sind. Dies gilt z.B. für das Verzeichnis der Verarbeitungstätigkeiten („Verarbeitungsübersicht“), die Benennung von Datenschutzbeauftragten oder schriftliche Verträge zur Auftragsverarbeitung. Ferner gibt es zusätzliche Rechte für die Betroffenen (z.B. das Recht auf Vergessen, das Recht auf Datenportabilität) und neue Pflichten der verarbeitenden Unternehmen, u.a. in Form von Meldepflichten, den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default) sowie die Pflicht zur Durchführung für Datenschutz-Folgeabschätzungen.

 

Der UK Information Commissioner (ICO), die Aufsichtsbehörde für den Datenschutz in Großbritannien, hat dementsprechend in einer Stellungnahme am 24.6.2016, also direkt am Tag nach dem Brexit-Referendum, darauf hingewiesen, dass bei einem Austritt aus der EU die britischen Vorschriften entsprechend der DS-GVO angepasst werden müssten, um einen Angemessenheitsstandard zu erreichen (auf der Website des ICO ist die Mitteilung inzwischen gelöscht). Baronin Neville-Rolfe, für den Datenschutz zuständige Ministerin in Großbritannien, hat es in einer Rede jüngst etwas vorsichtiger formuliert: Die Frage der Anerkennung der Angemessenheit des Datenschutzes in Großbritannien werde eine wesentliche Rolle bei den Austrittsverhandlungen spielen.

 

Was die Angemessenheitsentscheidung für die EU-Kommission erschweren könnte, ist, dass der EuGH in seiner am 6.10.2015 ergangenen Entscheidung zu „Safe Harbor“ (EuGH MMR 2015, 753 m. Anm. Bergt = ZD 2015, 549 m. Anm. Spies - Schrems) erhöhte Anforderungen an eine solche Prüfung gestellt hat. Danach muss die Kommission im Einzelfall u.a. prüfen, ob es im nationalen Recht des Drittlands Regelungen gibt, die den Wesensgehalt der in der GRCh garantierten Grundrechte auf Achtung des Privatlebens und wirksamen gerichtlichen Rechtsschutz verletzen (EuGH, a.a.O., Rdnr. 94, 95). Hintergrund dieser Aussagen des EuGH waren insbesondere die durch Edward Snowden bekannt gewordenen massenhaften und anlasslosen Zugriffe auf elektronische Kommunikation sowie ein von der EU-Kommission festgestellter Mangel an Rechtsbehelfen gegen Überwachungsmaßnahmen von US-amerikanischen Diensten für EU-Bürger. Wie mühsam die Einhaltung dieses Standards sein kann, zeigen die Verhandlungen um das gerade erst verabschiedete sog. EU-US-Privacy-Shield, dem Nachfolge-Abkommen zu Safe Harbor, und die anhaltende Kritik an diesem Abkommen (zu den Bedenken der europäischen Aufsichtsbehörden vgl. die „Opinion 01/2016 on the EU/US Privacy Shield draft adequacy decision“ der Art. 29-Datenschutzgruppe v. 13.4.2016, WP 236). Es ist kein Geheimnis, dass im Zuge dieser Diskussionen auch immer wieder die Überwachungspraxis der britischen Geheimdienste kritisch erwähnt wurde. Dass Großbritannien eine etwas andere Sichtweise auf das Verhältnis von Datenschutz und Geheimdiensttätigkeiten hat als vielleicht einige andere Mitgliedstaaten zeigt sich auch daran, dass die britische Regierung i.R.d. Verabschiedung der DS-GVO erklärt hat, dass sie Art. 48 der DS-GVO (sog. NSA-Klausel), der eine Datenübermittlung an Behörden von Drittstaaten verbietet, nicht anerkennen werde. Weiter erschwert werden dürfte ein Angemessenheitsbeschluss für Großbritannien wohl auch durch die kurz vor der Verabschiedung stehende „Investigatory Powers Bill“, die weitergehende Befugnisse für die britischen Geheimdienste vorsieht.

 

Um den Blick nach vorne zu richten: Großbritannien ist ein zu wichtiger Handelspartner, um Datenübermittlungen allein auf das Instrumentarium der Standardvertragsklauseln und BCRs zu stützen. Die einfachste Lösungsmöglichkeit könnte sein, dass Großbritannien der Europäischen Freihandelszone (EFTA) beitritt und dann wie Island, Liechtenstein und Norwegen am Europäischen Wirtschaftsraum (EWR) teilhat, der einen freien Datenfluss zwischen den Ländern gewährleistet und weitere Privilegien, wie z.B. die Anmeldung von BCRs, auch auf diese Länder erstreckt. Ansonsten bleibt der Weg der Beantragung eines Angemessenheitsbeschlusses durch die EU-Kommission. Anders als im Fall der USA gibt es weniger Wesensunterschiede im Datenschutzregime, weshalb eine Anerkennung grundsätzlich vereinfacht ist. Es bleibt das Problem der Diskussion um Geheimdienstzugriffe. Denkbar wäre, dass man hier im Verhandlungswege - vergleichbar mit EU-US-Privacy-Shield - Zugeständnisse für EU-Bürger abringt. Es könnte also ein EU-UK-Privacy-Shield geben. So oder so ist die Diskussion um Geheimdienstzugriffe eine, die uns auch weiterhin beschäftigen wird. Diese Diskussion ist nicht auf die USA oder Großbritannien beschränkt. Vielmehr halten die europäischen Aufsichtsbehörden die Aussagen des Safe Harbor-Urteils auch für die Frage relevant, ob Unternehmen die nach den Standardvertragsklauseln gegebenen Garantien überhaupt einhalten (können). Am 25.5.2016 hat der Irish Information Commissioner, die irische Aufsichtsbehörde für den Datenschutz, angekündigt, dass er im Streit Schrems/Facebook nunmehr die Standardvertragsklauseln vor den EuGH bringen will. Dies betrifft dann Datenübermittlungen in sämtliche Länder außerhalb der EU weltweit, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt.

 

München, im August 2016

 

 

Dr. Sibylle Gierschmann, LL.M. (Duke University)


ist Rechtsanwältin und Fachanwältin für Urheber- und Medienrecht in der Kanzlei Taylor Wessing in München sowie Mitherausgeberin der MMR.

 

 

 

 


Dauerbrenner IT-Sicherheit - Nun macht Brüssel Druck

MMR 2016, 429   Zugegeben: Wirklich neu ist das Thema IT-Sicherheit nicht. Bereits im Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) in Kraft, das primär den Betreibern Kritischer Infrastrukturen wie z.B. Energieversorgern, sog. Kritis-Betreibern, verschiedene IT-Sicherheits- und Meldepflichten auferlegte. Im Mai 2016 sorgte das Bundesministerium des Innern (BMI) sodann mit der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) für mehr Klarheit hinsichtlich einer Vielzahl vom IT-SiG betroffener Adressaten.

 

 

Diese nationalen Anfangsbemühungen, das IT-Sicherheitsniveau in Deutschland zu heben, werden jedoch bereits auf Grund eines Richtlinienentwurfs aus Brüssel teilweise in Frage gestellt. Denn seit Dezember 2015 liegt auch der Entwurf für eine EU-Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL-Entwurf) vor. Der gemeinsame Entwurf von Vertretern des Europäischen Parlaments, des Rates und der Kommission, den sog. Trilog-Parteien, wird aller Voraussicht nach im August 2016 in seiner jetzigen Form beschlossen werden. Die Mitgliedstaaten sind dann verpflichtet, die (stark vergleichbare Verpflichtungen wie das IT-SiG vorsehende) Richtlinie binnen 21 Monaten auf nationaler Ebene umzusetzen.

 

 

Für den deutschen Rechtsanwender ist dies eine eher ungewohnte Situation. So geschieht es zwar regelmäßig, dass der deutsche Gesetzgeber eine Richtlinie verspätet umsetzt. Dass er bewusst in Vorleistung geht, kommt zwar gelegentlich vor, ist jedoch eher selten. Wie kam es also dazu? Die Erklärung liegt in der aktuellen Gefährdungslage für IT-Sicherheitssysteme, insbesondere denen von Kritis-Betreibern. Schon 2014 stufte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Lage der IT-Sicherheit in Deutschland als kritisch ein. Besonders im Bereich der Kritischen Infrastrukturen wurden bereits damals stärkere Schutzmaßnahmen gefordert. In dem Bericht für das Jahr 2015 bestätigte das BSI diese Forderung abermals. Deutsche Unternehmen gelten auf Grund eines hohen Vernetzungs- und Automatisierungsgrads als attraktives Angriffsziel, und die im europäischen Vergleich wachstumsstarke Wirtschaft weckt Begehrlichkeiten gewerbsmäßig agierender Hacker. Insbesondere mittelständische Unternehmen werden Opfer von Erpressungsversuchen. Mittlerweile vergeht kaum ein Tag ohne Angriffe auf die IT-Systeme deutscher Unternehmen, darunter auch Betreiber Kritischer Infrastrukturen mit besonders hoher Bedeutung für Gesellschaft und Wirtschaft.

 

 

In Anbetracht dieser Bedrohungslage wollte der deutsche Gesetzgeber den zeitlich nur schwer kalkulierbaren europäischen Gesetzgebungsprozess nicht abwarten. Bundesinnenminister Thomas de Maizière ließ sich gar zu der Zielsetzung hinreißen, „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit“ zu machen. Kenner der IT-Branche wissen jedoch, dass es bis dahin noch ein weiter Weg ist. In Sachen IT-Sicherheit hinken deutsche Unternehmen ihrer Konkurrenz eher hinterher. Umfragen unter IT-Sicherheitsfachleuten zufolge kommt es in deutschen Unternehmen zu deutlich mehr IT-Sicherheitsverletzungen als in Unternehmen in Großbritannien oder den USA. Nicht zufällig geht hiermit eine deutliche Vormachtstellung amerikanischer Unternehmen auf dem Markt für IT-Sicherheitsprodukte einher.

 

 

Ähnliches gilt für viele weitere EU-Mitgliedstaaten. Während sich Europa in Sachen Datenschutz an der Weltspitze wähnt, ist es in puncto IT-Sicherheit (abgesehen von einigen Ausnahmen) schon seit Längerem im Rückstand. Dabei bedingt der -- vor allem gegenüber den USA häufig überheblich formulierte -- Anspruch auf ein hohes Datenschutzniveau eigentlich zwangsläufig ebenfalls den auf ein hohes IT-Sicherheitsniveau. Das strengste Datenschutzregime vermag die Bürger nicht hinreichend zu schützen, wenn IT-Systeme mit personenbezogenen Daten leicht zu hacken sind. Es mag also verständlich sein, dass der deutsche Gesetzgeber nicht auf Brüssel warten wollte. Tatsächlich kam die Einigung im Trilog-Verfahren im Dezember 2015 auch unerwartet schnell zu Stande. Der Parallellauf der beiden Gesetzgebungsverfahren führte bei deutschen Wirtschaftsverbänden jedoch zu Befürchtungen, es würde durch kollidierende Anforderungen aus dem IT-SiG und der NIS-Richtlinie zu Doppelbelastungen bei Unternehmen kommen. Das federführende BMI hatte daher zugesichert, eine möglichst weitgehende Übereinstimmung von IT-SiG und NIS-Richtlinie anzustreben. Ist dies nun gelungen?

 

 

Das IT-SiG orientiert sich zwar erkennbar an dem ursprünglichen Entwurf der Europäischen Kommission für die NIS-Richtlinie aus dem Jahr 2013. Das Problem einer vorgreifenden Richtlinienumsetzung ist jedoch, dass ein Kommissionsentwurf das Europäische Parlament und den Rat praktisch nie ohne Veränderungen passiert. In vier Trilog-Runden folgten somit einige nicht unerhebliche Änderungen. Das Ergebnis: In weiten Teilen decken sich IT-SiG und der NIS-RL-Entwurf noch, es gibt jedoch auch einige wesentliche Abweichungen. In Anbetracht der zeitlichen Perspektive für die Richtlinienumsetzung wird der deutsche Gesetzgeber das IT-SiG daher in Teilen anpassen müssen, bevor die (dem Inkrafttreten des IT-SiG teilweise nachgelagerten) nationalen IT-Sicherheitspflichten für die Kritis-Betreiber überhaupt wirksam werden.

 

 

Im Wesentlichen, gerade in Bezug auf den Adressatenkreis, sieht der deutsche Gesetzgeber jedoch lediglich -- europarechtskonform -- über die Mindestvorgaben des NIS-RL-Entwurfs hinausgehende Verpflichtungen vor. So werden mehr Sektoren Kritischer Infrastrukturen genannt und sich deckende Sektoren teilweise weiter definiert, als dies im NIS-RL-Entwurf der Fall ist. Dies führt zwar zu einer Zusatzbelastung deutscher Unternehmen; rechtlich ist dies jedoch weitestgehend unbedenklich, da der NIS-RL-Entwurf grundsätzlich eine Mindest- und keine Vollharmonisierung zum Ziel hat. Insoweit bleibt das IT-SiG als vorgreifende, wenn auch überschießende Umsetzung der NIS-Richtlinie anwendbar, sofern damit ein über die Richtlinie hinausgehendes Sicherheitsniveau erreicht wird. Dieser Grundsatz der Mindestharmonisierung erfährt jedoch auch eine Ausnahme im Hinblick auf Anbieter digitaler Dienste. So werden vom NIS-RL-Entwurf diesbezüglich lediglich Online-Marktplätze, Suchmaschinenbetreiber und Cloud-Anbieter erfasst. Darüber hinausgehende Anforderungen an Anbieter digitaler Dienste sollen nur in Ausnahmefällen zulässig sein. Der durch das IT-SiG eingeführte § 13 Abs. 7 TMG geht hingegen weiter und erfasst alle geschäftsmäßig angebotenen Telemedien; er wird im Zuge der Richtlinienumsetzung anzupassen sein.

 

 

Der wichtigste Unterschied zwischen dem NIS-RL-Entwurf und dem IT-SiG zeigt sich jedoch bei den Kriterien zur Bestimmung der "Betreiber wesentlicher Dienste" -- so die Terminologie des NIS-RL-Entwurfs für Kritis-Betreiber. Die das IT-SiG ausformende BSI-KritisV verfolgt, bereits durch die Verordnungsermächtigung in § 10 Abs. 1 BSIG vorgegeben, bei der Auswahl der relevanten Betreiber einen rein quantitativen Ansatz mit entsprechenden Schwellenwerten; ein Betreiber soll grundsätzlich nur dann den Anforderungen des BSIG unterworfen sein, wenn er eine bestimmte Mindestanzahl an Personen versorgt. Der NIS-RL-Entwurf gibt für die Auswahl relevanter Betreiber neben quantitativen aber auch qualitative sektorenübergreifende Kriterien vor, wie z.B. die Auswirkungen eines Sicherheitsvorfalls auf andere Sektoren, die öffentliche Sicherheit und die Versorgungssicherheit. Für die Richtlinienumsetzung folgt hieraus, dass § 10 Abs. 1 BSIG geändert werden muss, da zwischen den Betreiberdefinitionen keine Deckungsgleichheit herrscht und das deutsche Verständnis relevanter Betreiber hinter dem europäischen Verständnis zurückbleiben könnte. Auch die BSI-KritisV wird daher aus europarechtlichen Gründen an die Vorgaben der finalen NIS-Richtlinie anzupassen sein.

 

 

Überdies mag der quantitative Ansatz des BSIG in der Praxis zwar einfacher zu handhaben sein, dem Schutzzweck des IT-SiG aber auch bei rein nationaler Betrachtung oft nicht gerecht werden. Denn bei entsprechender Vernetzung und sektorenübergreifender Bedeutung eines Infrastrukturbetreibers kann dieser, auch wenn er selbst unter dem entsprechenden Schwellenwert bleibt, mittelbar kritisch für die Versorgung einer wesentlich größeren Zahl an Menschen sein (z.B. wenn er andere relevante Betreiber versorgt und sich die Anzahl versorgter Bürger somit indirekt erhöht). Es drohen dann Dominoeffekte. Auch in Sektoren mit besonders dezentraler Versorgungsstruktur kann man mangels Ausweichmöglichkeiten durchaus bezweifeln, ob eine relevante Bedrohungslage durch einen potenziellen Ausfall erst mit Erreichen des Schwellenwerts gegeben ist.

 

 

Als Ausblick darf also davon ausgegangen werden, dass das IT-SiG die Umsetzung der NIS-Richtlinie trotz gelegentlichen Anpassungsbedarfs im Wesentlichen gut und im Kern unverändert überstehen wird. Der Gesetzgebungsprozess dürfte dementsprechend unproblematisch ablaufen. Das teilweise befürchtete Szenario einer Richtlinie, die die mühsame und aufwändige Implementierung von IT-Sicherheitsmaßnahmen nach dem IT-SiG innerhalb kürzester Zeit wieder zunichtemacht, sollte also nicht eintreten.

 

Berlin, im Juli 2016

 

 

Paul Voigt, Lic. en Derecho

 

ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht in der Kanzlei Taylor Wessing in Berlin.

 

 

 


Zwei US-Behörden für mehr Datenschutz und Datensicherheit

MMR 2016, 357    Die Federal Trade Commission (FTC) und die Federal Communications Commission (FCC) haben am 10.5.2016 zwei getrennte Untersuchungsverfahren gegen bestimmte TK-Anbieter und Hersteller von Smartphones etc. eingeleitet. Die US-Behörden wollen wissen, wie diese Unternehmen Updates zur Datensicherheit vornehmen, wie die Kunden die Updates umsetzen und wie die Unternehmen eventuelle Schwachstellen in den Geräten in Angriff nehmen. Das wirft die allgemeine Frage auf, welche Kompetenzen beide Behörden in den Bereichen Datenschutz und Datensicherheit haben und wie sie zusammenarbeiten.

 

Federal Communications Commission – FCC

Die FCC stützt sich auf drei Vorschriften, um personenbezogene Daten im TK-Bereich zu regeln: Section 201(b), 222(a) und Section 222(c) Communications Act. Section 201(b) legt folgende allgemeine Regel fest, die auch den Bereich „Privacy" umfasst: „Alle Gebühren, Praktiken, Klassifikationen und Vorschriften für und in Verbindung mit (zwischenstaatlichen oder ausländischen) Kommunikationsdiensten (leitungsgebunden oder drahtlos) müssen gerecht und vernünftig sein; eine Gebührenerhebung, Praxis, Klassifizierung oder Verordnung, die ungerecht oder unvernünftig ist, muss für rechtswidrig erklärt werden.“ Section 222(a) Communications Act regelt allgemein die Pflicht der TK-Anbieter, die Vertraulichkeit der Informationen ihrer Kunden zu schützen. Section 222(c)(1) erlaubt es den TK-Anbietern, nur solche personenbezogene Daten (Customer Proprietary Network Information -- CPNI) zu verarbeiten, die für die Erbringung der TK-Dienste erforderlich sind, es sei denn, das Gesetz oder die Einwilligung des Kunden erlaube etwas anderes.

 

Die FCC hat diese weite Befugnis u.a. in dem Verfahren gegen Terracom und YourTel im Oktober 2014 angewandt, indem sie beiden Unternehmen getrennt behördliche Strafbefehle (Notice of Apparent Liability) i.H.v. US$ 10 Mio. zugestellt hat (vgl. Spies, ZD-Aktuell 2014, 04387). Beide Unternehmen hatten laut FCC TK-Daten entgegen den o.g. Vorschriften verarbeitet, die sie von Kunden i.R.v. sog. Lifeline-Diensten (TK-Grunddienste für finanziell Bedürftige) erhalten hatten. Hinzu kam ein Bruch der Datensicherheit. Die Unternehmen einigten sich mit der FCC im Juli 2015 auf eine erhebliche, rechtskräftige Geldbuße i.H.v. US$ 3,5 Mio.

 

Die in vieler Hinsicht wegweisende Open Internet Order der FCC v. 26.2.2015 (vgl. Spies, MMR-Aktuell 2015, 367980) enthält einen weiteren Schritt für mehr Datenschutz im TK-Bereich und weitergehender Aufsicht der FCC, indem sie die o.g. Vorschriften von Section 201(b) und Section 222 Communications Act auf die Vermittler von Internet-Zugangsdiensten (Broadband Internet Access Services -- BIAS) ausdehnt. Die Open Internet Order ist allerdings vor Gericht angefochten worden, auch im Hinblick auf deren Privacy-Regelungen. Mit einer Entscheidung des Berufungsgerichts ist in einigen Wochen zu rechnen.

 

Das derzeit noch laufende Konsultationsverfahren der FCC „Broadband and Data Security NPRM“ v. 1.4.2016 (vgl. Spies, ZD-Aktuell 2016, 377151) ist ein weiterer wichtiger Meilenstein für den Ausbau des Datenschutzes im TK-Bereich. Die FCC will dieses Konsultationsverfahren bis zum 27.6.2016 abschließen.

Damit nähert sich die FCC in einigen wichtigen Bereichen, z.B. bei der Definition der PII, dem EU-Datenschutzstandard für den von ihr überwachten TK-Sektor an.

 

Große Bedeutung behält in den USA weiterhin all das, was der Anbieter selbst in seinen Datenschutz-Richtlinien (Privacy Policies) seinen Kunden gegenüber verspricht. Die Behörden halten den Anbieter daran fest. Nach der Vorstellung der FCC sollen die Privacy Policies der Anbieter zumindest folgende Informationen enthalten: Die erfassten Datenkategorien, die der Anbieter verwendet, eine vollständige Liste der Stellen, die TK-Daten vom Anbieter erhalten und zu welchem Zweck, die Opt-out- und/oder Opt-in-Rechte der Kunden (ohne zusätzliche Kosten) in Bezug auf die Bereitstellung von Breitband-Dienstleistungen, detaillierte Bestimmungen über die Einwilligungen der Kunden in einem einfachen und transparenten Verfahren sowie zu deren Rücknahme.

 

Bei den neuen Regeln zum Bruch der Datensicherheit in der NPRM bemüht sich die FCC um Vereinheitlichung der nach dem Recht von 46 Einzelstaaten bestehenden Vorgaben für den TK-Sektor (State Data Breach Notification Laws), da ein Bundesgesetz bislang fehlt.

 

Egal was die nahe Zukunft bringen mag, kann man feststellen, dass die FCC auch schon mit dem bestehenden regulatorischen Werkzeug in der Lage ist, für ihren Geschäftsbereich Datenschutzvorschriften zu erlassen und notfalls mithilfe des personell gut ausgestatteten und geschulten Enforcement Bureau gegenüber den TK-Anbietern durchzusetzen. Sollte die Open Internet Order in dieser Hinsicht vor dem Berufungsgericht Bestand haben (vgl. Spies, MMR Aktuell 2015, 374380), müssen sich auch zahlreiche Anbieter von Breitband-Internetzugang an die neuen Regeln halten und diese durch ihre Privacy Policies umsetzen.

 

Federal Trade Commission – FTC

Die FTC ist von ihrer Konzeption her eine Verbraucherschutzbehörde und keine unabhängige Datenschutzbehörde i.S.d. europäischen DS-RL. Dreh- und Angelpunkt der FTC-Kompetenz im Bereich „Privacy“ ist Section 5 FTC Act. Die nur schwer zu übersetzende Vorschrift verbietet als Generalklausel „unfaire oder täuschende Handlungen oder Praktiken im Handel oder mit Auswirkungen auf den Handel“ („unfair or deceptive acts or practices in or affecting commerce“). Die Vorschrift gibt der FTC weitaus mehr Spielraum als die enger gefassten Regeln der FCC.

 

Ein gutes neueres Beispiel für die Nutzung der Kompetenz ist der Wyndham-Fall. Ohne hier auf die Einzelheiten des Sachverhalts eingehen zu wollen, ging es ebenfalls um einen Bruch der Datensicherheit. Die FTC war zur der Erkenntnis gelangt, dass das Hotel-Unternehmen Wyndham seinen Kunden gegenüber unrichtige oder irreführende Angaben und Zusicherungen zur Datensicherheit gemacht hatte, und dass das Unternehmen keine sinnvollen und geeigneten Maßnahmen ergriffen habe, um personenbezogene Daten der Kunden vor einem unberechtigten Zugriff zu schützen. Auf Grund dessen sei es zu betrügerischen Abbuchungen i.H.v. rd. US$ 10 Mio. durch Hacker gekommen, die einen erheblichen, vermeidbaren Schaden für die Verbraucher herbeigeführt hätten. Die Daten von mehreren 100.000 Kunden seien ungeschützt zugänglich gewesen. Dieser Schaden werde durch geldwerte Vorteile für die Verbraucher (Schadensersatz gegen Dritte etc.) nicht aufgewogen.

 

Wyndham und die FTC schlossen am 9.12.2015 eine Vereinbarung zur Erledigung des Verfahrens. Darin verpflichtet sich Wyndham u.a. dazu, ein detailliertes Programm zur Informationssicherheit für Karteninhaberdaten umzusetzen, einschließlich jährlicher Audits. Die vereinbarten Schutzmaßnahmen für einen Zeitraum von 20 Jahren umfassen auch den Schutz der Server der Franchisenehmer von Wyndham. Durch diesen Vergleich entging Wyndham empfindlichen Bußgeldern. Gleichwohl ist Wyndham weiterhin auf dem Radarschirm der FTC. Sollte Wyndham die Vereinbarung verletzen, könnte die FTC ein Exempel mit noch empfindlicheren Sanktionen statuieren.

 

Die FTC ist derzeit eng in die Verhandlungen der US-Regierung mit der EU zur Einrichtung des neuen EU-US-Privacy Shield involviert (vgl. hierzu Spies, ZD-Aktuell 2016, 04992 und ZD-Aktuell 2016, 05005). Die FCC bleibt in diesem Fall außen vor, da der Privacy Shield derzeit nicht auf TK-Daten anwendbar ist.

 

Sollte die EU-Kommission den neuen Regeln zustimmen, dürften die Unternehmen (Datenimporteure) mit einer intensiven Kontrolle der FTC zu rechnen haben. Die Datenimporteure müssen sich unter dem Privacy Shield selbst zertifizieren, dass sie die Daten aus der EU/EWR im Einklang mit den im Privacy Shield-Framework festgeschriebenen Regeln verarbeiten. Wenn sie die Regeln verletzen, drohen ihnen u.a. Sanktionen der FTC. Die FTC hat bereits Workshops zum neuen Privacy Shield für die US-Industrie angekündigt. Ein weiterer Schwerpunkt der Arbeit der FTC liegt auf der Durchsetzung der Datenschutzregeln, deren Einhaltung die Unternehmen in ihren jeweiligen Privacy Policies ihren Kunden gegenüber versprechen, den Auswirkungen des Internet of Things (IoT) und, ähnlich wie in Europa, dem Thema „Privacy by Design“.

 

Zusammenarbeit der beiden Behörden

Die Tatsache, dass die FCC und die FTC teilweise überlappende Kompetenzen im Bereich „Privacy“ haben, könnte zu rivalisierenden Maßnahmen der beiden Behörden oder, positiv ausgedrückt, zu einem Wettlauf um den besseren Datenschutz führen. Von offizieller Seite wird eine Rivalität vehement verneint. Durch ihre Fachkompetenz im bestimmten Bereichen (TK gegenüber Verbraucherschutz) ergänzen sich die Behörden jedenfalls in ihrer Arbeit. Der Informationsfluss zwischen den Mitarbeitern beider Behörden ist gut.

 

Die FCC und die FTC haben im November 2015 ein Memorandum of Understanding (MoU) unterzeichnet, um ihre Zusammenarbeit bei Verbraucherschutzthemen zu fördern. Das MoU, das über den Bereich Privacy hinausgeht, soll die bestehende Zusammenarbeit zwischen den Behörden formalisieren und beschreibt Methoden zur Koordination und zum Informationsaustausch. So soll nach dem MoU die FTC nicht gegen TK-Unternehmen vorgehen, ohne vorher die FCC zu konsultieren. Dies ist besonders relevant für Ermittlungen und andere Maßnahmen der FTC nach dem Fair Credit Reporting Act und nach dem Telephone Disclosure and Dispute Resolution Act von 1992, für die die FTC (und nicht die FCC) originäre Zuständigkeit hat. Umgekehrt ist eine Konsultationspflicht vorgesehen, wenn die FCC in Verbraucherschutzfragen aktiv wird. Die Behörden informieren sich gegenseitig über eingehende Verbraucherbeschwerden. Zentrale Kontaktstellen (Designated Liaison Officers) beider Behörden sollen mögliche Kompetenzkonflikte schon in einem frühen Stadium ausräumen.

Washington, im Juni 2016 

Dr. Axel Spies

 

ist Rechtsanwalt in der Kanzlei Morgan, Lewis & Bockius LLP in Washington DC und Mitherausgeber der MMR.