AK WLAN IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010 IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen RA Ivo Ivanov Justiziar des eco e.v. 1
Übersicht Ausgangssituation Datenschutzrechtlicher Eingriff Rechtfertigung des datenschutzrechtlichen Eingriffs Übermittlung von Daten ins Ausland Die EU und die Cookies 2
Ausgangssituation: Providerarten E-Mail-Service Provider Provider A Accessprovider Provider E Provider B Provider D Provider C Host- / Webserverprovider 3
Ausgangssituation Interessenslage Interessen des Betroffenen Interessen des Providers Fernmeldegeheimnis Recht auf informationelle Selbstbestimmung IT-Grundrecht (Ausstrahlungswirk ung) Rechtlich gebilligtes Interesse Störungsfreiheit der Systeme Schutz der Kunden 4
Art der Informationen Spamheader mit IP-Adresse, Zeitstempel E-Mail-Adresse (Beschwerdeführer / Absender) URLs (z.b. Harvesting) Provider A Logfiles mit IP- Adresse Headerinhalte (IP-Adresse) 5
Datenschutzrechtlicher Grundsatz Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn gesetzlich erlaubt oder vom Betroffenen gestattet. 6
Personenbezogenheit der Daten? 3 Abs. 1 BDSG: Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) 91 Abs. 1 Satz 2 TKG: Erweiterung auf juristische Personen hinsichtlich der Teilnahme an Telekommunikationsvorgängen 7
Personenbezogenheit der Daten? E-Mail-Adresse IP-Adresse 8
AK WLAN WiMAX als alternativer Breitbandanschlu für Deutsche Carrier Personenbezogenheit von IP-Adressen? 9
AK WLAN WiMAX als alternativer Breitbandanschlu für Deutsche Carrier Personenbezogenheit von IP-Adressen? 10
AK WLAN WiMAX als alternativer Breitbandanschlu für Deutsche Carrier Personenbezogenheit von IP-Adressen? 11
AK WLAN WiMAX als alternativer Breitbandanschlu für Deutsche Carrier Personenbezogenheit von IP-Adressen? 12
AK WLAN WiMAX als alternativer Breitbandanschlu für Deutsche Carrier Personenbezogenheit von IP-Adressen? 13
AK WLAN WiMAX als alternativer Breitbandanschlu für Deutsche Carrier Personenbezogenheit von IP-Adressen (+) 14
Datenschutzrechtlicher Grundsatz Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn gesetzlich erlaubt oder vom Betroffenen gestattet. Erheben ist das Beschaffen von Daten Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen Nutzen ist jede weitere Verwendung der Daten 15
Datenschutzrelevante Maßnahmen I. Gewinnung der Information Auswertung des E-Mail-Verkehrs Auswertung von Firewall-Logs Abuse-Meldungen Analyse von Webseiten bzw. Webseitenzugriffen II. Weiterleitung der Information an andere Provider Übermittlung von datenschutzrelevanten Informationen 16
AK WLAN WiMAX als alternativer Breitbandanschlu für Deutsche Carrier Datenschutzrelevante Maßnahmen Es werden Verkehrs-/Nutzungs- und Bestandsdaten erhoben und verarbeitet. 17
Datenarten Definitionen Verkehrsdaten: Kommunikationsdaten im Rahmen der Erbringung des TK-Dienstes; wer, wann, wo mit wem und in welcher Weise kommuniziert hat (z.b. IP-Adresse, E-Mail- Adresse) Nutzungsdaten: wie Verkehrsdaten, nur bei einem Telemediendienst, z.b. Webseite, Webserver (IP-Adresse) Bestandsdaten: Daten des Vertragsverhältnisses (z.b. E-Mail-Adresse, statische IP-Adresse) 18
Datenschutzrechtlicher Grundsatz Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn gesetzlich erlaubt oder vom Betroffenen gestattet. Verbot mit Erlaubnisvorbehalt 19
Rechtfertigung des Eingriffs bei Access- und E- Mail-Service-Provider Das TKG gilt 88 Fernmeldegeheimnis: Kenntnisnahmeund Verwendungsverbot von Verkehrsdaten, es sei denn erforderlich zum Schutz der technischen Systeme Maßstab von 100 TKG 20
Rechtfertigung des Eingriffs bei Access- und E- Mail-Service-Provider 100 TKG Störungserkennung, Störungsbeseitigung, Missbrauchsbekämpfung Gestattet die Erhebung und Verwendung von Bestands und Verkehrsdaten zum Aufdecken und zum Unterbinden von Störungen sowie rechtswidriger Innspruchnahme der Infrastruktur: z.b. Maßnahmen zur Botnetzbekämpfung (+) Dient die Weiterleitung an andere Provider? (wohl +) Grundsatz der Verhältnismäßigkeit 21
Rechtfertigung des Eingriffs bei Access- und E- Mail-Service-Provider 109 TKG Verpflichtung, angemessene technische und organisatorische Maßnahmen zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen führen. 22
Rechtfertigung des Eingriffs bei Access- und E- Mail-Service-Provider 28 Abs. 1 Nr. 2 BDSG Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten... ist zulässig.. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt 28 Abs. 2 Nr. 2 lit. a BDSG...ist zulässig... soweit es zur Wahrung berechtigter Interessen eines Dritten erforderlich ist 23
Rechtfertigung des Eingriffs bei Webserverbetreiber / Webseitenbetreiber Das TMG gilt Im TMG fehlt eine Norm entsprechend 100 TKG, Analogie scheidet aus Rettungsanker des rechtfertigenden Notstandes? 28 Abs. 1 Nr. 2, Abs. 2 Nr. 2 BDSG gelten, wenn kein Telemediendienst 24
Datenschutzrechtliche Rechtfertigung Interessensabwägung Interessen des Betroffenen Interessen des Providers Fernmeldegeheimnis Recht auf informationelle Selbstbestimmung IT-Grundrecht (Ausstrahlungswirk ung) Rechtlich gebilligtes Interesse Störungsfreiheit der Systeme Schutz der Kunden 25
Interessensabwägung Zur Wahrung nicht dienlich sondern erforderlich? Interessenswahrung auf andere Art und Weise nicht oder nicht angemessen möglich? Interessenswahrung ohne personenbezogene Daten nicht möglich? 26
Datenschutzrechtliche Rechtfertigung Überblick 100 TKG 88 Abs. 3 TKG Access- E-Mail- Provider 28 BDSG Allerdings subsidiär 27
Datenschutzrechtliche Rechtfertigung Überblick Analoge Regelung zu 100 TKG fehlt (noch) Problematisch Rechtfertigender Notstand Rechtsunsicherheiten Hostprovider Webserverbetreiber Webseitenbetreiber 28 BDSG Allerdings subsidiär 28
AK WLAN WiMAX als alternativer Breitbandanschlu für Deutsche Carrier Übermittlung personenbezogener Daten an Provider ins Ausland Teil I Grundvoraussetzungen Erlaubnis nach dem deutschen Datenschutz ( 28 BDSG, 100 TKG) Einschränkung für TKAnbieter - 92 TKG: Übertragung u.a. nur zur Missbrauchsbekämpfung Empfängerstaat hat gleichmäßiges Datenschutzniveau 29
Übermittlung personenbezogener Daten an Provider ins Ausland Teil II Angemessenes Datenschutzniveau? Ja Wo? Nein (Drittstaaten) Wann trotzdem zulässig? - Innerhalb der EU und EWR. - Argentinien, Schweiz (Entscheidung der EU-Kommission) USA Unternehmen, verpflichtet zu Safe- Harbor-Abkommen Problem: wenige TK- Dienstleister Genehmigung durch Peter Schaar aufgrund von Vereinbarungen zwischen den austauschenden Stellen, die den Datenschutz gewährleisten 30
Neues Recht für Cookies in der EU Art. 5(3) der neuen Privacy and Electronic Communications Directive (e-privacy Directive) OPT-IN for Cookies - die Speicherung von Cookies oder der Zugriff auf Cookies, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, ist nur gestattet, wenn: (1) der Nutzer klar und umfassend über die Zwecke der Verarbeitung informiert wird und (2) seine Einwilligung gegeben hat. Ausnahme: die Cookies sind unbedingt erforderlich" für die Durchführung des Dienstes, den der Nutzer ausdrücklich gewünscht hat (z.b. Funktionalität des Einkaufskorbes) www.cerified-senders.eu 31
Wie kann die Einwilligung erklärt werden? Pop-UP? Extra-Startseite? Besser: Erwägungsgrund 66 der Richtlinie "the user's consent to processing may be expressed by using the appropriate settings of a browser. Aber: dies ist ein Erwägungsgrund und KEIN Richtlinienartikel Die Einwilligung muss nur einmal erteilt werden www.cerified-senders.eu 32
AK WLAN Ich danke Ihnen für Ihre Aufmerksamkeit und freue mich auf die Diskussion mit Ihnen! RA Ivo A. Ivanov eco Verband der deutschen Internetwirtschaft e.v. Lichtstraße 43h, 50825 Köln ivo.ivanov@eco.de +49 (0)221 7000 48 250