Auf dem Weg zu einer biometrischen Verbunddatei der Sicherheitsbehörden

 

 Peter Schaar ist Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin und Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a.D.

 

 

 

ZD 2017, 301    Am 18.5.2017 billigte der Deutsche Bundestag mit den Stimmen der Großen Koalition den von der Bundesregierung eingebrachten Entwurf eines "Gesetzes zur Förderung des elektronischen Identitätsnachweises" (BT-Drs. 18/11279, 18/12417). Das vordergründige Ziel der Gesetzesänderung bestand darin, zukünftig die in den neuen Personalausweisen enthaltene elektronische Funktion zum Nachweis der Identität des Inhabers generell freizuschalten. Die 2010 eingeführte eID-Funktion sollte es den Bürgern ermöglichen, ihre Identität gegenüber Behörden und Unternehmen im Internet nachzuweisen, ohne den Ausweis vor Ort vorzeigen zu müssen. Angesichts der vielfach deutlich unsichereren, zur Identifikation und Authentifizierung im Internet eingesetzten Verfahren war dies ein - auch aus Datenschutzsicht - grundsätzlich sinnvoller Ansatz, auch wenn Zweifel hinsichtlich der Sicherheit der dabei verwendeten Technik nicht gänzlich ausgeräumt werden konnten.

Bisher konnte jeder Ausweisinhaber selbst darüber entscheiden, ob die eID-Funktion in dem Chip auf seinem Ausweisdokument aktiviert wird, zukünftig entfällt diese Wahlmöglichkeit bei neu ausgestellten Ausweisen. Die generelle Freischaltung der Funktion ist eine Reaktion auf die nur geringe Akzeptanz der eID bei den Bürgern. Bei zwei Drittel der rd. 51 Mio. seit 2010 ausgegebenen elektronischen Ausweise und Aufenthaltstitel blieb die Funktion deaktiviert. Die geringe Freischaltungsquote ist ganz wesentlich darauf zurückzuführen, dass nur wenige Internetanbieter die eID-Funktion in ihre Geschäftsabläufe integriert haben und die Nutzer deshalb kaum Anwendungsmöglichkeiten sahen. Bemerkenswert ist, dass nicht nur Unternehmen, sondern auch die allermeisten staatlichen Stellen die Verwendung der eID in ihren Internetangeboten bis heute nicht vorsehen. Statt hier mit gutem Beispiel voranzugehen und die Bürger vom Nutzen der Funktion zu überzeugen, wählt die Bundesregierung das Mittel der Zwangsbeglückung, indem sie ihnen die bisherige Wahlmöglichkeit nimmt. Wer ausschließen möchte, dass der eigene Ausweis zur elektronischen Identifizierung verwendet wird, muss sich zukünftig an die Behörden wenden und die Aufnahme in eine zentrale Sperrliste veranlassen - die eID-Funktion auf dem Ausweis selbst bleibt aber auch in diesem Fall weiterhin aktiviert. Ob diese Verfahrensumstellung tatsächlich den von der Bundesregierung erhofften Durchbruch der elektronischen Identifizierung bringt, erscheint vor diesem Hintergrund eher zweifelhaft.

Viel gravierender als die Freischaltung der eID-Funktion sind die zugleich beschlossenen Änderungen des Personalausweis- und des Passgesetzes im hinteren Teil des Artikelgesetzes. Die neuen Vorschriften erlauben es den Polizeibehörden des Bundes und der Länder, dem MAD, dem BND, den Verfassungsschutzbehörden des Bundes und der Länder, den Steuerfahndungsdienststellen, dem Zollfahndungsdienst und den Hauptzollämtern, das Passfoto "zur Erfüllung ihrer Aufgaben" im automatisierten Verfahren abzurufen. Zudem dürfen weiterhin die Ordnungsbehörden i.R.d. Verfolgung von Verkehrsordnungswidrigkeiten das Passfoto im automatisierten Verfahren abrufen, allerdings nun auch während der Geschäftszeiten der Meldebehörden. Diese Änderungen sollen bereits zum 15.5.2018 in Kraft treten und nicht - wie zunächst von der Bundesregierung vorgesehen - im Jahr 2021.

Nach dem bisherigen Recht war der Online-Abruf der biometrischen Lichtbilder nur ausnahmsweise zulässig: Die Polizei- und Ordnungsbehörden, die Steuerfahndungsstellen der Länder sowie die Behörden der Zollverwaltung durften das Lichtbild nur zu Zwecken der Verfolgung von Straftaten und Verkehrsordnungswidrigkeiten im automatisierten Verfahren abrufen, wenn die Personalausweis- bzw. Passbehörde auf andere Weise nicht erreichbar war und ein weiteres Abwarten den Ermittlungszweck gefährdet hätte. Die Nachrichtendienste waren gänzlich vom Online-Zugang auf die biometrischen Lichtbilddaten ausgeschlossen. Diese Beschränkungen des Online-Abrufs waren seinerzeit eingeführt worden, um zu verhindern, dass die obligatorisch in elektronischen Pässen und Personalausweisen gespeicherten biometrischen Gesichtsbilder zur Massenüberwachung genutzt werden. Damals hatte der Bundestag auch einhellig verboten, eine zentrale Datei mit biometrischen Daten einzurichten.

Mit der von der Großen Koalition nun durchgesetzten Gesetzesänderung wird diese wichtige Restriktion ausgehöhlt. Zwar steht das Verbot einer biometrischen Zentraldatei weiterhin im Gesetz, aber die jetzige Gesetzesänderung schafft die Voraussetzung dafür, dass die verteilten Datenbestände der Pass- und Ausweisbehörden online zusammengeschaltet werden. Einzige Bedingung für den Online-Zugriff auf die Lichtbilddateien ist in Zukunft, dass der Abruf durch die Sicherheitsbehörden "zur Erfüllung ihrer Aufgaben" erfolgt. In der Gesetzesbegründung stellt die Bundesregierung allein darauf ab, dass der Online-Abruf zur Beschleunigung der Identifizierung bestimmter Personen erforderlich sei. Zudem könne die manuelle Anfrage zur "Enttarnung der Person oder der Verhinderung von Maßnahmen der Polizeien und der Nachrichtendienste" führen. Hinweise darauf, wie relevant derartige Fallkonstellationen waren und in welchem Umfang sie in der Vergangenheit eingetreten sind, blieb die Bundesregierung schuldig. Schließlich fehlte jede Begründung dafür, warum die neuen Befugnisse zum Online-Abruf für sämtliche Aufgaben der Sicherheitsbehörden zulässig sein sollen. Ergänzende gesetzliche Vorkehrungen zum Schutz des Grundrechts auf informationelle Selbstbestimmung, wie sie das BVerfG in seinem Urteil zum Antiterrordateiengesetz (ZD 2013, 328 m. Anm. Petri) gefordert hat, sucht man ebenfalls vergeblich. Die Neuregelung widerspricht zudem dem Bestimmtheitsgrundsatz. Gesetze, die Grundrechte einschränken, müssen klare und begrenzende Handlungsmaßstäbe für die Behörden enthalten. Klare Regelungen sind auch die Voraussetzung dafür, dass die Gerichte eine wirksame Rechtskontrolle durchführen können. Ferner sind die Bestimmtheit und Klarheit der Norm Voraussetzungen dafür, dass die betroffenen Bürger sich auf mögliche belastende Maßnahmen einstellen und ggf. dagegen rechtlich vorgehen können. All dies fehlt in dem neuen Gesetz. Zudem laufen die Vorgaben des Personalausweis- und des Passgesetzes leer, wonach die aus den Ausweisen ausgelesenen biometrischen Daten unverzüglich zu löschen sind, wenn die Prüfung der Echtheit des Personalausweises oder der Identität des Inhabers beendet ist. Hinsichtlich der im Online-Verfahren aus den Registern abgerufenen Biometriedaten gibt es derartige Löschungsverpflichtungen nicht. Den Behörden ist es nicht einmal untersagt, die online abgerufenen Lichtbilder in eigene Informationssysteme zu übernehmen, sodass zu erwarten ist, dass bei den Sicherheitsbehörden parallele Datenbanken entstehen, die aus den Ausweisregistern gespeist werden.

Ein zentraler Einsatzbereich der Gesichtserkennung ist die Videoüberwachung. Die durch immer leistungsfähigere Technik zunehmenden Einsatzmöglichkeiten biometrischer Daten korrespondieren mit abgesenkten datenschutzrechtlichen Anforderungen. Es ist damit zu rechnen, dass die umfassenden Abrufmöglichkeiten längerfristig dazu verwendet werden, durch "intelligente Videoüberwachung" Menschen zu identifizieren, die sich in einem Bahnhof, auf einem Flughafen, in einem Einkaufszentrum oder auf einem öffentlichen Platz aufhalten. So hat das BMI kürzlich angekündigt, ab Herbst 2017 im Berliner Bahnhof Südkreuz versuchsweise intelligente Videokameras einzusetzen. Sie sollen dazu in der Lage sein, mittels Gesichtserkennung Menschen herauszufiltern, die auf einer Liste von Verdächtigen gespeichert sind. Bahn, Bundespolizei, BMI und BKA sind an diesem Versuch beteiligt. Zudem hat die Große Koalition kürzlich die gesetzlichen Befugnisse zur Videoüberwachung im öffentlichen Raum so erweitert, dass die Gewährleistung der Sicherheit grundsätzlich schwerer wiegt als die Wahrung der Persönlichkeitsrechte der Betroffenen. Auch die Befugnisse zur Videoüberwachung in den Polizeigesetzen des Bundes und der Länder sind in den letzten Jahren ausgeweitet worden. Mit den gerade beschlossenen Änderungen des BKA-Gesetzes sind die bisherigen Zweckbindungsregeln für die von Polizeibehörden gespeicherten Daten abgesenkt worden.

Äußerst kritisch ist die Ausweitung des automatisierten Datenabrufs aus den Ausweisregistern auf die Nachrichtendienste zu bewerten. Dass die Nachrichtendienste sehr zurückhaltend mit den ihnen eingeräumten neuen Abrufmöglichkeiten umgehen, kann niemand behaupten. Nicht nur die vom NSA-Untersuchungsausschuss des Deutschen Bundestags gewonnenen Erkenntnisse lassen erwarten, dass die Dienste auch mit den biometrischen Daten nicht allzu zögerlich umgehen werden. Schließlich haben sie den Anspruch, schon im Vorfeld des Vorfelds einer konkreten Gefahr oder einer Straftat tätig zu werden. Ihre Befugnisse, dabei personenbezogene Daten in automatisierten Dateien zu sammeln und auszutauschen, hatte die Große Koalition durch verschiedene, in dieser Legislaturperiode beschlossene Gesetzesänderungen, insbesondere durch das neu gefasste BVerfSchG und die Änderungen im BND-Gesetz stark erweitert.

Bedeutsam ist schließlich auch die Umstellung der Protokollierungsvorschriften beim Datenabruf aus den Ausweisregistern, die von den Koalitionsfraktionen wenige Tage vor der abschließenden Behandlung im Bundestag eingebracht wurde: Bisher mussten die Personalausweisbehörden der Länder sicherstellen, dass die automatisierten Abrufe aus den Registern protokolliert werden. Anhand der Protokolle konnten sie feststellen, welche Behörde in welchem Umfang auf die Daten zugegriffen hatte. Sie hatten damit auch die Chance, auffällige Systemaktivitäten zu entdecken und unautorisierte Datenabflüsse aufzuklären. Auch die zuständigen Landesdatenschutzbeauftragten konnten anhand der Protokolldateien überprüfen, ob die für den Abruf einschlägigen Datenschutzvorschriften beachtet wurden. Die Gesetzesänderung bringt auch hier einen Systemwechsel: Nur noch die abrufenden Stellen haben die Abrufe zu protokollieren. Angesichts der Vielzahl der zum automatisierten Abruf berechtigten Stellen ist es deshalb deutlich schwieriger, entsprechende Missbrauchsfälle zu erkennen und abzustellen.

Die Möglichkeit zur beschleunigten Bearbeitung von Verkehrsordnungswidrigkeiten, mit der 2007 die Einrichtung von Online-Abrufmöglichkeiten aus den Pass- und Ausweisregistern gerechtfertigt worden war (BT-Drs. 16/4138, S. 21), erweist sich im Nachhinein als ein Türöffner zu einer zeitlich versetzten virtuellen Zusammenschaltung der verteilten biometrischen Datenbestände für alle erdenklichen Zwecke sämtlicher Sicherheitsbehörden. Wieder einmal zeigt sich, dass bei der Einrichtung von Verfahren gegebene datenschutzrechtlich problematische Zusicherungen eine kurze Halbwertzeit aufweisen, wenn die entsprechenden technischen Möglichkeiten für eine erweiterte Datennutzung erst einmal vorhanden sind. Eine ähnliche Erfahrung konnten wir etwa beim automatisierten Kontodatenabruf machen, der nach den Anschlägen vom 11. September 2001 zur Terrorismusbekämpfung eingeführt worden war, aber heute von allen möglichen Behörden - vom Finanzamt bis zum Jobcenter - hunderttausendfach genutzt wird.


Einmal Europa, Deutschland und zurück!

 

Susanne Dehmel ist Mitglied der Geschäftsleitung des Bitkom e.V. und Mitglied des Wissenschaftsbeirats der ZD.

 

 

 

ZD 2017, 249   Das neue Bundesdatenschutzgesetz ist verabschiedet. Knapp ein Jahr nach Inkrafttreten der EU-Datenschutzgrundverordnung (DS-GVO) und noch gut ein Jahr, bevor es ernst wird mit ihrer Anwendung, hat die Bundesregierung das "Gesetz zur Anpassung des Datenschutzrechts an die EU-Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie zur Datenverarbeitung bei Polizei und Justiz (DSAnpUG-EU)" durch den Bundestag und am 12.5.2017 durch den Bundesrat gebracht. Damit stehen die allgemeinen Datenschutzgesetze für Unternehmen und Behörden für die Zeit ab dem 25.5.2018. Lediglich Spezial- und Landesgesetze müssen noch angepasst werden. Die Bundesregierung selbst hatte diesen ehrgeizigen Zeitplan aufgestellt. Denn das Ende der Legislaturperiode ist nah und wäre das Gesetz nicht vor der Sommerpause fertig geworden, hätte es eng werden können mit der Anpassung der Gesetzgebung bis Mai 2018. Für datenverarbeitende Stellen ist es gut, dass nun der Rechtsrahmen weitgehend gesetzt ist, unter dem sie in Deutschland operieren. Denn nun ist für jeden die Basis klar, auf der die Anpassung der internen Prozesse, Dokumentationen und Verträge bei den Verantwortlichen vorgenommen werden kann.

 

Inhaltlich ist das BDSG-neu mit Blick auf die Unternehmen weder ein großer Wurf noch besonders bedenklich. Die entscheidenden Fragen für die Datenverarbeitung im Unternehmen sind bereits abschließend in der Grundverordnung geregelt, wie z.B. das Gros der Rechtsgrundlagen für die Verarbeitung einschließlich der Bedingungen für die Einwilligung und auch alle Vorgaben zu Verträgen und den internen Datenschutzprozessen. Zur Form muss man leider feststellen, dass das Gesetz durch die gemeinsame Umsetzung von EU-Verordnung und Richtlinie sowie die gleichzeitige Schaffung von allgemeinen Datenschutzregeln für Bereiche, die gar nicht von der EU vorgegeben sind (z.B. Geheimdienste), leider sehr komplex und schwer lesbar geworden ist.

 

Für Unternehmen ist die Vereinheitlichung des Datenschutzrechts in der EU fast die einzige große Erleichterung, die durch die DS-GVO erreicht wird. Bitkom hatte sich deshalb dafür eingesetzt, die nationalen Regelungen möglichst schlank zu halten, um die europäische Rechtsharmonisierung nicht zu konterkarieren. Das ist teilweise gelungen, teilweise hält man an bereits aus dem alten BDSG bekannten Regelungen fest. So sieht das nationale Gesetz einzelne Beschränkungen bei den Betroffenenrechten vor, diese sind jedoch sehr überschaubar. Ferner gibt es spezifische Verarbeitungsregeln für besondere Kategorien von personenbezogenen Daten wie etwa Gesundheitsdaten. Wichtig wird es weiterhin sein, dass auch die Landesgesetzgeber bei der Anpassung an die DS-GVO für möglichst schlanke und vor allem einheitliche Spezialgesetze (wie z.B. Krankenhausgesetze) sorgen. Sonst könnte der Harmonisierungseffekt der DS-GVO noch auf dieser Ebene ausgehebelt werden.

 

An dem grundsätzlichen Problem, dass die DS-GVO insgesamt zu bürokratisch und zu wenig zukunftsgerichtet ist, kann auch das nationale Gesetz nichts ändern. Ärgerlich ist jedoch das grundsätzliche Schriftformerfordernis für die Einwilligung in eine Datenverarbeitung im Beschäftigtenverhältnis, sofern nicht wegen besonderer Umstände eine andere Form angemessen ist (Art. 26 Abs. 2 BDSG-neu). Es ist unverständlich, warum das Gesetz es hier nicht bei der Formulierung der DS-GVO belässt und ausdrücklich die Erteilung auch in elektronischer Form zulässt. Wenn hier tatsächlich Papier gemeint ist, wäre das eine völlig praxisferne Formvorgabe, die auch für den Arbeitnehmer unbequem wäre. Um hier zu praktikablen Lösungen zu kommen, dürften dann an das Vorliegen der besonderen Umstände nicht allzu hohe Bedingungen geknüpft werden.

 

Ungelöst bleibt das Problem der Heraufsetzung des Mindestalters für die Einwilligung auf lebensfremde 16 Jahre durch die DS-GVO, sofern die Mitgliedstaaten hierzu keine explizite Regelung treffen, mit der sie das Mindestalter auf 13 Jahre herabsetzen können (Art. 8 Abs. 1 DS-GVO). Gerade bei dieser Regelung wäre eine EU-weite Regelung sinnvoll gewesen, aber eine Einigung war im Rat damals nicht möglich. Auch der deutsche Gesetzgeber wollte sich dieses Themas nicht annehmen. Dabei wäre hier möglicherweise eine Chance gewesen, eine Regelung mit Vorbildcharakter für die anderen Mitgliedstaaten zu schaffen. In der neuen Legislaturperiode sollte dieses Thema möglichst im Schulterschluss mit anderen Mitgliedstaaten noch einmal angegangen werden.

 

Positiv fällt auf, dass im Gesetzgebungsverfahren neben einem Verfahren für die Positionierung der deutschen Aufsichtsbehörden im zukünftigen EU-Datenschutzausschuss (EDA) mit Art. 40 Abs. 2 BDSG-neu auch noch ein Kohärenzverfahren für Sachverhalte eingeführt wurde, die nicht grenzüberschreitend, sondern auf Deutschland beschränkt sind. Dies lässt hoffen, dass auch innerhalb Deutschlands trotz des föderalen Aufsichtssystems schnellere Abstimmungen und belastbare einheitliche Entscheidungen der Aufsichtsbehörden erreicht werden können. Spannend ist, wie dieses Verfahren in der Praxis genau aussehen wird.

 

Obwohl wir nun sowohl den Text der DS-GVO als auch des neuen BDSG kennen, ist es für Unternehmen immer noch schwer einzuschätzen, wie die gesetzlichen Vorgaben im Einzelnen umgesetzt werden müssen. Erste Orientierung gibt es von der Art. 29-Datenschutzgruppe in Form von Leitlinien zu verschiedenen Themen. Einzelne deutsche Behörden haben ebenfalls erläuternde Papiere veröffentlicht. Doch auch diese Leitlinien und erste Kommentare beantworten nicht alle Fragen, die bei der Übertragung des abstrakten Gesetzestexts auf den einzelnen Datenverarbeitungsvorgang auftauchen. Der Arbeitskreis Datenschutz des Bitkom hat in Teamarbeit und mit vielen Beratungsrunden die erstenArt Leitfäden an die DS-GVO angepasst, um möglichst praktische Hilfe zur Umsetzung zu leisten. Umfassende Klarheit gibt es jedoch noch nicht. Denn es dauert, bis Unternehmen und Aufsichtsbehörden sämtliche Themen abgearbeitet haben, die sich ihnen bei der Implementierung der neuen Prozesse nach der DS-GVO und einer einheitlichen europäischen Auslegung stellen. Es bedarf eines intensiven Austauschs zwischen Unternehmen und Aufsichtsbehörden, um Probleme bei der konkreten Umsetzung der abstrakten Vorgaben schnell zu erkennen und zu lösen. Erst durch solche Dialoge wird man realistisch einschätzen können, was tatsächlich an konkreten Umsetzungsmaßnahmen verpflichtend sein wird. Entweder die Aufsichtsbehörden machen erste Vorschläge in Form von Guidelines oder die Wirtschaft legt vor - ebenfalls in Form von Empfehlungen oder gleich in der Form von Kodizes oder zertifizierbaren Standards, die mit den Aufsichtsbehörden diskutiert und von diesen anerkannt werden können. Ein arbeitsteiliges Vorgehen ist durchaus sinnvoll, um die riesige Menge an offenen Fragen möglichst zeitnah beantworten zu können. Wünschenswert wäre es in diesem Sinne auch, dass das Verfahren zur Kommentierung von Guidelines der Art. 29-Datenschutzgruppe beibehalten und noch ausgebaut wird. Parallel dazu wäre es sinnvoll, wenn es auch in Deutschland vorbereitende Konsultationen für die in der Art. 29-Datenschutzgruppe anstehenden Themen geben würde. Die CNIL führt solche in Frankreich durch, der ICO in der UK. Fragen, die sich den Unternehmen stellen, könnten dann direkt in der Art. 29-Datenschutzgruppe bearbeitet werden. Daneben sind alle europäischen und internationalen Plattformen hilfreich, die den informellen Austausch zwischen Wirtschaft, Aufsicht und Wissenschaft befördern. Eine solche Gelegenheit wird auch wieder die Privacy Conference sein, die die ZD mit Bitkom und der IAPP am 19.9.2017 in Berlin organisiert.

 

Doch wie schon gesagt - Unternehmen können mit der Prüfung und Anpassung ihrer datenverarbeitenden Prozesse nicht warten, bis alle Fragen beantwortet sind. Sie müssen sich jetzt ihren Reim auf die Vorgaben machen und sich auf die Anwendung der Verordnung vorbereiten. Einige sind damit schon recht weit, andere haben noch gar nicht begonnen. Die meisten Unternehmen erwarten jedoch erheblichen einmaligen und auch dauerhaften Mehraufwand für die Einhaltung der Datenschutzvorgaben. Am aufwändigsten schätzen von Bitkom befragte Unternehmen die Umsetzung neuer Pflichten, wie z.B. die Datenübertragbarkeit oder Datenschutz durch Technikgestaltung, ein. Aber auch bereits bekannte Vorgänge bekommen neues Gewicht durch die Pflicht, die rechtmäßige Datenverarbeitung nachweisen zu können. Dadurch steigt der Aufwand für die Dokumentation. Die erhöhten Sanktionen tun ihr Übriges, um zu datenschutzkonformem Handeln zu motivieren. Dabei machen es die sehr allgemein gehaltenen Tatbestände für Datenschutzverstöße auf der einen und die (noch) offenen Auslegungsfragen auf der anderen Seite allerdings schwer, das tatsächliche Risiko solcher Sanktionen einzuschätzen. Auch ist noch nicht klar, wie die Aufsichtsbehörden die Durchsetzung und Kontrolle der Einhaltung der DS-GVO angehen werden.

 

Apropos Rechtsunsicherheit: Nach der DS-GVO ist vor der ePrivacy-VO - und wenn wir die Rechtsunsicherheit für Datenverarbeitungsvorgänge nicht vergrößern wollen, sollten wir dringend noch an dieser neuen Verordnung arbeiten, damit sie die DS-GVO sinnvoll ergänzt und nicht Verwirrung stiftend überlagert. Die unterschiedlichen, aber überlappenden Anwendungsbereiche beider Verordnungen bergen in Kombination mit noch unklaren Definitionen und Anknüpfungspunkten erhebliches Potenzial für Regelungen, die den Datenschutz nicht nennenswert voranbringen, dafür aber bestehende und zukünftige Dienste massiv gefährden. Die Vertraulichkeit der Kommunikation muss besonders geschützt werden, das steht außer Frage. Aber die von der EU-Kommission vorgelegten Vorschläge lassen momentan auch Experten rätseln, welche Datenverarbeitungsvorgänge nun nach der DS-GVO zu beurteilen sind und welche nach der ePrivacy-VO. Gerade mit Blick auf Kommunikationsvorgänge zwischen Maschinen und kombinierte Dienste mit Kommunikations-Elementen und sonstiger Datenverarbeitung ist die Abgrenzung unklar. Es bleibt abzuwarten, ob bis zum 25.5.2018 mehr Klarheit in die ePrivacy-VO gebracht werden kann. Jedenfalls können Unternehmen, die in den Anwendungsbereich der ePrivacy-VO fallen, nach Implementierung der DS-GVO gleich den nächsten Änderungsprozess starten.

 

Zusammengefasst: Intensive Zeiten für diejenigen, die Datenschutz im Unternehmen umsetzen sollen - aber auch sehr spannende!