Bundesregierung: Warum die geplante VDS nicht anlasslos ist und der Tweet von Heiko Maas in Ordnung geht

Die Diskussion um die Einführung einer Vorratsdatenspeicherung in Deutschland geht weiter. Am 15. April 2015 stellte Bundesminister Heiko Maas Leitlinien zur Einführung einer Speicherpflicht und Höchstspeicherfristen für Verkehrsdaten vor. Diese geben eine erste Auskunft dazu, wie die Bundesregierung die Vorgaben des Bundesverfassungsgerichts und auch der Europäischen Gerichtshofs (C-293/12) in einem nationalen Gesetz umsetzen möchte.

Insbesondere wurden die Leitlinien deshalb kritisiert, weil auch zukünftig eine „anlasslose“ Speicherung von Verkehrsdaten vorgesehen ist. Prof. Härting konstatiert: die Speicherverpflichtung soll – wie gehabt – flächendeckend und anlasslos gelten.

Wie reagiert die Bundesregierung auf die Kritik? Bisher noch zurückhaltend.

Im Bundestag hat jedoch kürzlich Christian Lange, Parl. Staatssekretär beim Bundesminister der Justiz und für Verbraucherschutz, im Rahmen einer Fragestunde (PDF, ab S. 9441) interessante neue Einblicke in die Begründung der Bundesregierung und ihre Sichtweise zur Rechtmäßigkeit der geplanten Regelungen gegeben.

Nach Aussage von Lange kombinieren die vorgestellten Leitlinien

zeitlich und inhaltlich eng begrenzte Speicherfristen mit sehr strengen Abrufregelungen. Auf diese Weise wird den Vorgaben des Europäischen Gerichtshofs nachgekommen.

Die Antworten des parlamentarischen Staatssekretärs erfolgten auf Fragen der Bundestagsabgeordneten Katja Keul (Grüne). Frau Keul kritisierte vor allem, dass die vorgestellten Leitlinien weiterhin eine „anlasslose“ Speicherung von Verkehrsdaten vorsehen. Doch diese Anlasslosigkeit, also eine Speicherung von Verkehrsdaten von Personen, „bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte“ (so der EuGH in seinem Urteil, Rz. 58), führte im Fall der europäischen Richtlinie zur Vorratsdatenspeicherung unter anderem zu deren Unwirksamkeit.

Herr Lange verweist in seiner Antwort ebenfalls auf Rz. 57 und 58 des EuGH-Urteils. Den dort von dem Gerichtshof aufgestellten Vorgaben, werde die Bundesregierung dadurch

nachkommen, dass gerade nicht alle Daten gespeichert werden – wie ich es in der Antwort eben dargestellt habe. So sind die Daten von Diensten der elektronischen Post komplett ausgenommen. Auch aufgerufene Internetseiten und Inhalte der Kommunikationen werden nicht gespeichert.

Leider verweist Herr Lange nicht auf den Umstand, dass ein Teil seiner Begründungen völlig ins Leere gehen. Denn die vom EuGH für ungültig erklärte Richtlinie sah überhaupt keine Speicherung von aufgerufenen Internetseiten oder gar Inhalten der Kommunikation vor. Es werden also Argumente für eine Einhaltung der Vorgaben des EuGH vorgebracht, die der EuGH überhaupt nicht zu prüfen und in seine Erwägung einbezogen hatte.

Herr Lange weiter:

Schließlich werden Berufsgeheimnisträger besonders geschützt.

Unabhängig davon, wie dieser Schutz nach (!) einer Erhebung und Speicherung der Verkehrsdaten von Berufsgeheimnisträgern ausgestaltet ist, werden die Verkehrsdaten dieser Personengruppe nach den Leitlinien auch anlasslos erhoben und gespeichert.

Etwas zum Schmunzeln und in der politischen Beratung im Bundestag bestimmt ein ungewöhnlicher Vorgang (noch dazu wenn man bedenkt, dass hier die Bundesregierung einen noch nicht vorgelegten Gesetzesentwurf verteidigt), ist dann noch der Hinweis von Frau Keul auf den bekannten Tweet von Justizminister Maas, der lautet:

#VDS lehne ich entschieden ab – verstößt gg Recht auf Privatheit u Datenschutz. Kein deutsches Gesetz u keine EU-RL! http://t.co/TOnbqi2vST

— Heiko Maas (@HeikoMaas) 15. Dezember 2014

Die Vereinbarkeit einer solchen Aussage mit den später vorgestellten Leitlinien wurde auf Twitter kritisiert. Auch hierzu äußert sich Herr Lange und erklärt abschließend:

Deshalb ist dieser Tweet in vollem Einklang mit dem Vorgehen der Bundesregierung.

 

Bundesregierung: Datensammlungen stellen einen Wettbewerbsvorteil dar

Die deutsche Bundesregierung hat sich in einer Stellungnahme vom 22. April 2015 zum XX. Hauptgutachten der Monopolkommission 2012/2013 und dabei insbesondere auch zu dem Themenkreis Datenschutz, Wettbewerb und Markmacht geäußert.

Das referenzierte Hauptgutachten der Monopolkommission hatte ich bereits einmal hier im Blog besprochen. Die Monopolkommission widmet sich darin unter anderem auch der Internetökonomie und den Problemkreisen Datenschutz, Wettbewerb und Verbraucherschutz. Inbesondere geht es dabei auch um die Auswirkungen der Sammlung von großen Mengen personenbezogener Daten und wie sich das Datenschutz- und Kartellrecht hier ergänzen können oder sollten.

In ihrer Stellungnahme geht die Bundesregierung zunächst auf die geplante Datenschutz-Grundverordnung (DS-GVO) auf europäischer Ebene ein. Ihrer Ansicht nach wird die DS-GVO eine wettbewerbsfördernde Dimension besitzen, welche insbesondere durch die Harmonisierung des derzeitigen EU-Datenschutzrechts und eine damit angestrebte Angleichung der Anwendungspraxis zum Ausdruck kommen soll. (S. 3) Nicht erwähnt wird freilich, dass die DS-GVO möglicherweise weitreichende Ausnahmeklauseln enthalten könnte, die es den Mitgliedstaaten erlauben würden, jeweils eigene nationale Regelungen zum Umgang etwa mit bestimmten Arten von personenbezogenen Daten zu schaffen. Wo dann der Harmonisierungseffekt einer Verordnung bleibt, wird sich zeigen.

Weiter trifft die Bundesregierung dann eine klare Aussage:

Eine (oft langfristig aufgebaute) Sammlung von personenbezogenen Daten über das Verhalten von Nutzern stellt jedenfalls gegenüber Wettbewerbern, die nicht über eine solche Sammlung verfügen, einen erheblichen Wettbewerbsvorteil dar und kann so die Marktzutrittsschranken erhöhen.

Nach Ansicht der Bundesregierung soll das Allheilmittel gegen solche Tendenzen das in der DS-GVO neu zu schaffende „Recht auf Datenportabilität“ sein, welches eine leichte Übertragung von Datensätzen ermöglichen soll und den

Wechsel von einem Internetdiensteanbieter zum anderen erleichtert.

Dass freilich in der DS-GVO nichts davon steht, dass das Recht auf Datenportabilität allein auf Internetdiensteanbieter anwendbar ist und damit faktisch jede (!) verantwortliche Stelle trifft (den Handwerksbetrieb ebenso wie den Stromanbieter), wird auch hier nicht näher beleuchtet. Nicht nur die Internetdiensteanbieter wären also derzeit von der Pflicht zur Datenportabilität erfasst. Die Regierung geht davon aus, dass es wettbewerbsbehindernde Lock-in-Effekte verringern kann.

Auch äußert sich die Bundesregierung zu der generellen Bedeutung und den Auswirkungen des Datenschutzrechts auf den Märkten im Internet. Die Bundesregierung teilt hier nämlich die Auffassung der Monopolkommission,

dass dem Datenschutzrecht auf Internetmärkten eine wichtige wettbewerbspolitische Bedeutung zukommt.

Fast im unmittelbaren Zusammenhang gesteht die Bundesregierung jedoch auch ein, dass das Zusammenspiel von Wettbewerbs- und Datenschutzaspekten weitgehend ungeklärt und insbesondere zu diesen Fragen eine vertiefte Sachverhaltsaufklärung erforderlich ist (S. 4).

Weitergehend stellt die Bundesregierung klar, dass der Schutz vor Marktmachtmissbrauch sowie eine effektive Zusammenschlusskontrolle gesichert sein müssen. Dass die geltenden rechtlichen Vorschriften insoweit möglicherweise defizitär sind, erkennt die Regierung. Sie wird daher den bestehenden Ordnungsrahmen umfassend auf eventuellen Anpassungsbedarf prüfen und

dabei auf eine sorgfältig austarierte Balance zwischen technologieoffenen, innovationsfreundlichen Rahmenbedingungen auf der einen und einer Marktmachtbegrenzung auf der anderen Seite achten.

Konkret nennt die Bundesregierung auch ein Beispiel. Ihrer Ansicht nach wirft der Erwerb von WhatsApp durch Facebook die Frage auf, inwieweit bei der Prüfung, ob ein Zusammenschluss der Fusionskontrolle unterfällt, nicht nur die aktuellen Umsätze der Unternehmen berücksichtigt werden sollten, sondern auch der Wert einer Transaktion. Nach Auffassung der Regierung wird dieser Wert maßgeblich durch die Zahl der Nutzer und den Wert der Daten bestimmt.

Und wie sieht es mit einer möglichen Monopolstellung von Google aus? Die Monopolkommission war zu dem Ergebnis gelangt, dass Internetsuchmaschinen keine wesentlichen Einrichtungen darstellen und auch nicht unerlässlich seien, um das Internet zu nutzen. Die Bundesregierung scheint diese Auffassung zumindest nicht vollumfänglich zu teilen. Sie sieht hier weiteren Klärungsbedarf und eventuell einen Ansatz für weitergehende Regelungen. Insbesondere sollte ihrer Ansicht nach auf europäischer Ebene geprüft werden,

inwieweit für marktmächtige Plattformbetreiber über das Wettbewerbsrecht hinausgehende Regeln erforderlich sind.

Ausgeschiedene Arbeitnehmer: Nachfrage durch Ex-Arbeitgeber erlaubt?

Das Datenschutzrecht spielt bekanntlich auch in einem bestehenden Arbeitsverhältnis eine Rolle. Der für Datenverarbeitungen im Beschäftigungsverhältnis spezielle § 32 BDSG regelt, dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Besteht das Arbeitsverhältnis also noch, so darf der Arbeitgeber grundsätzlich jene Datenverarbeitungen mit personenbezogenen Daten der Arbeitnehmer vornehmen, die zur Durchführung des jeweiligen Arbeitsverhältnisses erforderlich sind.

Doch wie sieht es aus, wenn das Arbeitsverhältnis durch den Arbeitnehmer gekündigt wurde und eben aktuell kein Beschäftigungsverhältnis mehr besteht. Darf dann der ehemalige Arbeitgeber bei seinem Ex-Mitarbeiter anrufen (oder anrufen lassen), um nach den Gründen für die Kündigung zu Fragen.

Die Landesdatenschutzbeauftragte des Saarlandes schildert einen solchen Fall in ihrem aktuell veröffentlichten Tätigkeitsbericht 2013/14 zum Datenschutz (PDF).

Demnach beschwerte sich bei der Aufsichtsbehörde eine Person, der sein Arbeitsverhältnis gekündigt hatte, über seinen ehemaligen Arbeitgeber. Dieser hatte ein externes Callcenter damit beauftragt, Mitarbeiter, die ihr Arbeitsverhältnis gekündigt hatten, nach den Gründen zu befragen und dem Callcenter zu diesem Zweck Namen und Telefonnummern der betreffenden Personen übergeben.
Die Datenschutzbehörde hat dieses Vorgehen als einen Verstoß gegen § 32 BDSG bewertet. Eine Interessenabwägung zwischen dem Interesse des Unternehmens an einer Verbesserung der Arbeitsbedingungen mit den schutzwürdigen Belangen der ausgeschiedenen Mitarbeiter ließe die betreffende Maßnahme als unverhältnismäßig erscheinen. Das Unternehmen stellte die Aktion sofort ein und ein Bußgeldverfahren wurde daher nicht eingeleitet.
In concreto wird es der Datenschutzbehörde wohl zum einen an der „Erforderlichkeit“ der betreffenden Datenverwendung (Übermittlung der Daten an das Callcenter und Nutzung der Daten für den Anruf) gefehlt haben. Zum anderen kann man sich in der vorliegenden Situation jedoch auch fragen, ob § 32 BDSG hier überhaupt einschlägig ist. Denn ein Beschäftigungsverhältnis bestand ja gerade nicht mehr. Das Arbeitsverhältnis war anscheinend bereits vor dem Anruf beendet. Auch eine Datenverarbeitung zur „Beendigung“ eines Beschäftigungsverhältnisses im Sinne des § 32 BDSG dürfte daher nicht vorgelegen haben.

Sollte § 32 BDSG nicht einschlägig gewesen sein, so müsste man die Datenverarbeitung an § 28 BDSG messen.

Insbesondere eine Interessenabwägung auf der Grundlage von § 28 Abs. 1 S. 1 Nr. 2 BDSG dürfte hier wohl jedoch auch zu einer Unzulässigkeit der Aktion kommen. Gerade wenn der Arbeitgeber, wie in vorliegender Situation, von sich aus gekündigt hat, kann es nämlich durchaus sein, dass „schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung“ der personenbezogenen Daten überwiegen.

Eine Einzelfallbetrachtung bleibt jedoch auch in derartigen Konstellationen nicht aus. Die Umstände der konkreten Situation können das Ergebnis einer Interessenabwägung nämlich durchaus beeinflussen.

Digitaler Binnenmarkt: EU-Kommission plant umfassende Reformen

In dieser Woche wurden zwei Entwurfsdokumente der Europäischen Kommission geleaked, die ambitionierte Ideen für Reformen auf dem digitalen Binnenmarkt in Europa erkennen lassen.

Hier die Links zu den beiden Dokumenten:
Digital Single Market: The Evidence
A Digital Single Market Strategy for Europe

Betroffen von den vorgeschlagenen Reformen wären sowohl der Verbraucherschutz, der E-Commerce, das Urheberrecht oder auch das Datenschutzrecht. Ich möchte mich auf einige Aspekte beschränken.

Illegale Inhalte im Internet
Die Kommission verweist bei der Frage der rechtlichen Grundlage zum Vorgehen gegen illegale Inhalte im Internet auf die derzeitigen Vorgaben der e-Commerce-Richtlinie. Nach dieser sind Intermediäre für fremde Inhalte grundsätzlich nicht selbst verantwortlich, müssen jedoch tätig werden, wenn sie von rechtswidrigen Inhalten erfahren. Die Kommission sieht hier Probleme bei der Rechtedurchsetzung, insbesondere könne der Prozess zum Löschen rechtswidriger Inhalte lange dauern und intransparent sein. Zudem sei oft nicht klar, wann Internet-Intermediäre von einer passiven Rolle (etwa des Hosters) in eine aktive Rolle schlüpfen und damit selbst für Inhalte verantwortlich sind. Die Kommission plant daher, weitere Initiativen zum Vorgehen gegen rechtswidrige Informationen im Netz vorzustellen und genauere Vorgaben für Sorgfaltspflichten von Intermediären aufzustellen.

Umgang mit personenbezogenen Daten
Datensicherheit spielt für die Kommission eine wichtige Rolle, wenn es um das Vertrauen der Bevölkerung in das Internet und den Umgang mit Daten geht. Es bestünden derzeit noch große Lücken bei dem Angebot an passenden Technologien und Lösungen, um Sicherheit in Netzwerken herstellen zu können. Zudem möchte die Kommission in Zukunft die Auswirkungen der Nutzung personenbezogener Daten für unterschiedliche Zwecke durch Internetdiensteanbieter untersuchen. Dieser Aspekt gehört zu einer großen geplanten Untersuchung des Marktes der Diensteanbieter im Internet.
Der Mitteilungsentwurf verweist auch auf die geplante Datenschutz-Grundverordnung. Die gesetzlichen Regelungen, welche durch diese aufgestellt werden, betreffen jedoch nicht spezialgesetzliche Vorgaben zum Umgang mit personenbezogenen Daten, etwa im Bereich der elektronischen Kommunikationsdienste (e-privacy-Richtlinie). Diese speziellen Gesetze sollen nach Verabschiedung der Datenschutz-Grundverordnung überprüft und eventuell reformiert werden.

Aufbau einer „Data Economy“
Die Kommission sieht (gesetzgeberischen) Handlungsbedarf in den „datengetriebenen“ Wirtschaftszweigen, insbesondere wo es um Big Data, Cloud-Dienste, Open Data und Fragen des Eigentums an Daten geht. Um die neu entstehenden, auf Daten beruhenden Technologien zu nutzen, möchte die Kommission die derzeit bestehenden Hindernisse beseitigen, welche einen freien Fluss von Daten innerhalb der EU verhindern. Nach Ansicht der Kommission müssen die Anbieter von „Datendiensten“ derzeit mit verschiedenen Schwierigkeiten kämpfen, unter anderem Anforderungen an eine Speicherung von Daten allein in einem bestimmten Land oder auch Anforderungen der Verschlüsselung. Die Kommission möchte daher eine „Freier Fluss von Daten“-Initiative anstoßen, welche sich der Beseitigung nationaler Vorgaben zur lokalen Speicherung von Daten und zur verpflichtenden Errichtung von Serverfarmen in einem bestimmten Land widmet. Dies gerade auch mit Blick auf den Bereich des Cloud-Computing.

Am Ende des Dokuments „A Digital Single Market Strategy for Europe“ findet sich noch eine Roadmap, auf der die jeweiligen Themen aufgelistet sind und ihnen Jahre zugeordnet werden, wann hier von Seiten der Kommission mit einer Initiative gerechnet wird.

Verbandsklagebefugnis im Datenschutzrecht: Bundesregierung lehnt Vorschläge des Bundesrates ab

Bekanntlich wird derzeit ein Gesetzesentwurf der Bundesregierung zur Änderung des Unterlassungsklagengesetzes (UKlaG) im ordentlichen Gesetzgebungsverfahren diskutiert. Vor allem Verbraucherschutzverbände sollen in Zukunft die Möglichkeit erhalten, bestimmte datenschutzrechtswidrige Verarbeitungsvorgänge durch Unternehmen gerichtlich untersagen lassen zu können (hierzu soll ein neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG eingefügt werden).

Zu dem Regierungsentwurf (mein Beitrag dazu hier), als auch zu der Stellungnahme des Bundesrates hatte ich bereits ausführlich hier geschrieben. Der Gesetzesentwurf liegt nun im Bundestag und muss dort unter anderem im federführenden Ausschuss für Recht und Verbraucherschutz beraten werden.

Veröffentlicht wurde nun auch die Antwort der Bundesregierung auf die Stellungnahme des Bundesrates (in diesem PDF ab S. 42), in der der Bundesrat unter anderem eine Erweiterung des Tatbestandes des § 2 Abs. 2 S. 1 Nr. 11 UKlaG (angreifbar wären demnach nicht nur, wie von der Bundesregierung vorgeschlagen, bestimmte Datenverarbeitungen zu „kommerziellen“ Zwecken, sondern jegliche Datenverarbeitungen) sowie die Einführung eines allgemeinen Kopplungsverbotes von Einwilligung und Abschluss eines Vertrages in § 28 Abs. 3b BDSG vorsah.

Um es kurz zu machen: die Bundesregierung lehnt die Vorschläge des Bundesrates ab.

Zu der vorgeschlagenen Erweiterung des § 2 Abs. 2 S. 1 Nr. 11 UKlaG stellt die Bundesregierung fest, dass die Beschränkung auf Vorschriften, die die Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung zu bestimmten kommerziellen Zwecken betreffen,

vor allem auch im Interesse von kleinen und mittleren Unternehmen die Abmahn- und Klagemöglichkeiten soweit wie möglich konkretisieren

soll.

In Bezug auf den Vorschlag der Einführung eines allgemeinen Kopplungsverbotes im BDSG führt die Bundesregierung aus, dass § 28 BDSG voraussichtlich

ohnehin bald durch Regelungen der EU-Datenschutzgrundverordnung abgelöst werden wird

und die Bundesregierung eine Änderung der Vorschrift schon deshalb nicht für zweckmäßig hält. Mit dieser Argumentation könnte man freilich den gesamten eigenen Gesetzesentwurf torpedieren, da die geplante Datenschutzgrundverordnung auch eine Regelung zur Klagebefugnis von Verbraucherschutzverbänden vorsehen soll und als EU-Verordnung nationalen Vorschriften vorgehen wird.

Diesbezüglich ist jedoch noch zwischen Kommission, Parlament und Rat nicht geklärt, wie die konkrete Ausgestaltung erfolgen soll. Gerade im Rat wurde die Befugnis für Verbände, auf eigene Faust datenschutzrechtliche Verarbeitungstätigkeiten vor Gericht zu bringen, teilweise eingeschränkt. Im Endeffekt könnte es sich bei dem vorliegenden deutschen Gesetz also allein um einen Lückenfüller und eine Gesetzesänderung mit auf der Stirn stehendem Ablaufdatum handeln.

Die weiteren Verhandlungen im Bundestag werden vor dem Hintergrund der widerstreitenden Positionen sicherlich interessant werden.

Zuletzt sei noch darauf hingewiesen, dass die Bundesregierung nach eigenen Angaben in ihrer Antwort derzeit den allgemeinen gesetzgeberischen Handlungsbedarf im Telemediendatenschutz prüft und dazu gegebenenfalls noch ein gesondertes Gesetzgebungsverfahren in dieser Legislaturperiode einleiten wird. Auch Änderungen der datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) sind daher möglich, wobei sich auch hier dann die Frage nach einer zukünftigen Kollision mit der Datenschutzgrundverordnung stellen wird.

USA: Spezielles Datenschutzgesetz für Uber & Co

In den Vereinigten Staaten von Amerika wird derzeit über ein mögliches Gesetz verhandelt, welches den Umgang mit personenbezogenen Daten rund um das Angebot von mobilen Fahrdiensten durch Privatpersonen, wie sie etwa von Uber oder Lyft angeboten werden, strenger reglementieren soll.

Im Bundesland Kalifornien wurde im Februar 2015 ein entsprechender Gesetzesvorschlag durch den Abgeordneten Chau in das Abgeordnetenhaus eingebracht (Informationen zu dem „Passenger Privacy Act of 2015“ gibt es hier). Der Gesetzesentwurf wurde Ende März 2015 durch das Abgeordnetenhaus mit einigen Änderungen versehen (hier der Gesetzesentwurf mit Änderungen) und muss erneut verhandelt werden.

Nach dem Gesetzesvorschlag wäre es Anbietern von sog. „Transportdienstleistungsnetzwerken“ verboten, personenbezogene Daten von Kunden zu erheben, außer eine gesetzlich bestimmte Voraussetzung ist erfüllt. Bei diesen Anbietern handelt es sich laut dem Gesetzesentwurf um solche Unternehmen, welche in Kalifornien Transportdienstleistungen durch Taxis oder andere vorher festgelegte Transportdienstleistungen für eine Gegenleistung erbringen und dafür unter anderem Internet-basierte Dienste nutzen, um mit den Passagieren in Kontakt zu treten.

Dies ist etwa der Fall, wenn die Daten erforderlich sind, um die Buchung von Geld im Zusammenhang mit der Inanspruchnahme des Dienstes vornehmen zu können oder zur Verhinderung oder Aufdeckung von Missbrauch oder Identitätsdiebstahl. Zudem dürfen die Daten nur für die im Gesetz bestimmten Zwecke verwendet werden.
Auch die Weitergabe der Daten an Dritte ist grundsätzlich untersagt, es sei denn, ein Landes- oder Bundesgesetz verpflichtet den Diensteanbieter zur Weitergabe oder eine Übermittlung der Daten an ein Finanzinstitut ist erforderlich, um die Dienstleistung abzurechnen.

Daneben sieht der Gesetzesentwurf vor, dass ein Anbieter von Transportdienstleistungsnetzwerken von Verbrauchern verlangen darf, dass diese sich bei dem Dienst einen Nutzeraccount anlegen müssen. Im Zusammenhang mit dem der Eröffnung, Aktualisierung und Aufrechterhaltung des Accounts darf der Diensteanbeiter dann auch diejenigen personenbezogenen Daten von dem Nutzer einfordern, welche hierfür erforderlich sind. Zudem muss der Anbieter von einem Transportdienstleistungsnetzwerk für Nutzer die Möglichkeit bereithalten, dass diese ihren Account jederzeit löschen können. Im Zuge dessen muss der Anbieter dann alle personenbezogenen Daten in einer „sicheren“ Weise löschen. Doch nicht nur dann müssen die Daten gelöscht werden. Auch in dem Fall, dass die einmal erhobenen Daten nicht mehr erforderlich sind, um die in dem Gesetz beschriebenen Zwecke zu verfolgen.

Anders als in Deutschland, wird in Amerika das Datenschutzrecht überwiegend sektoral reguliert. Auch der hier angesprochene Gesetzesentwurf ist ein weiteres Beispiel für ein solches Vorgehen. Dennoch sind die in dem Entwurf vorgeschlagenen datenschutzrechtlichen Pflichten aus Sicht des europäischen und auch deutschen Datenschutzrechts keine „Unbekannten“. Gerade der dort auftauchende Zweckbindungsgrundsatz oder auch die Pflicht zur Löschung von nicht mehr erforderlichen Daten, ist im europäischen Datenschutzrecht fest verankert.

Markenrecht: Schützt das Bankgeheimnis vor Ansprüchen des Rechteinhabers?

In Deutschland existiert kein (zumindest kein unmittelbar) gesetzlich festgeschriebenes Bankgeheimnis. Nach § 383 Abs. 1 Nr. 6 ZPO sind jedoch Bankinstitute unter Umständen berechtigt, in Zivilprozesse die Auskunft über bestimmt Informationen zu verweigern (den Bankinstituten steht ein Zeugnisverweigerungsrecht zu). Daher spricht man zumindest von einem „mittelbar“ existierenden Bankgeheimnis.
Doch wie verhält sich das Bankgeheimnis zu Rechtsansprüchen von Dritten, die diese gegenüber Kunden der Bank besitzen und durchsetzen möchten, dazu jedoch Gewissheit erlangen müssen, wer der Inhaber eines Bankkontos ist?

Einen solchen Fall hat der Bundesgerichtshof (BGH) im Jahre 2013 dem Europäischen Gerichtshof (EuGH) zur Beantwortung vorgelegt (Rechtssache C-580/13). Hierüber hatte der Kollege Thomas Stadler in seinem Blog berichtet.

Worum geht es: Der exklusive Lizenzinhaber einer Marke (an dem Parfum „Davidoff Hot Water“) kaufte auf einer Internetauktionsplattform einen gefälschten Parfumflakon. Den Preis hierfür zahlte der Lizenzinhaber auf ein Bankkonto bei einer Sparkasse ein. Nachdem der Inhaber des Verkäuferkontos angab, nicht den in Rede stehenden Verkauf getätigt zu haben, wandte sich der Lizenzinhaber an die Sparkasse, um zu erfahren, wer denn hinter dem Bankkonto steckt. Damit machte der Lizenzinhaber einen gesetzlich in § 19 Abs. 2 MarkenG festgeschriebenen Auskunftsanspruch geltend, der wiederum auf Art. 8 der europäischen Richtlinie 2004/48 (PDF) beruht. Die Sparkasse weigerte sich, mit Verweis auf § 383 Abs. 1 Nr. 6 ZPO, die Auskunft zu erteilen.

Das Urteil des EuGH steht noch aus, jedoch hat nun der zuständige Generalanwalt am EuGH seine Stellungnahme abgegeben und seine Entscheidungsempfehlung ausgesprochen. Kurz gesagt: die vorbehaltlose Verweigerung der Auskunftserteilung mit Verweis auf das Bankgeheimnis ist ohne eine gerichtliche Prüfung nicht mit EU-Recht vereinbar.

Art. 8 RL 2004/48 sieht vor, dass die Mitgliedstaaten sicherstellen müssen, „dass die zuständigen Gerichte im Zusammenhang mit einem Verfahren wegen Verletzung eines Rechts des geistigen Eigentums auf einen begründeten und die Verhältnismäßigkeit wahrenden Antrag des Klägers hin anordnen können, dass Auskünfte über den Ursprung und die Vertriebswege von Waren oder Dienstleistungen, die ein Recht des geistigen Eigentums verletzen, von dem Verletzer und/oder jeder anderen Person erteilt werden“. Diese Auskunft erstreckt sich auch auf Namen und Adresse der Vertreiber und Verkaufsstellen.

Nach Ansicht des Generalanwalts hat die Weigerung der Auskunftserteilung durch die Sparkasse die Einschränkung von zwei europäischen Grundrechten zur Folge: das Recht auf geistiges Eigentum (Art. 17 Abs. 2 der Charta der Grundrechte der Europäischen Union) und das Recht auf einen wirksamen Rechtsbehelf nach Art. 47 der Charta, welches gerade ein notwendiges Instrument zum Schutz des ersteren Grundrechts darstellt. Auf Seiten des Bankinstituts stehe hingegen das Recht der Bankkunden auf Schutz personenbezogener Daten (Art. 8 der Charta), welches die Bank durch das Bankgeheimnis zumindest mittelbar zu schätzen versuche.

Art. 52 Abs. 1 der Charta enthält die Voraussetzungen, unter denen die Einschränkung eines Grundrechts rechtmäßig erfolgen kann. Die Grundrechtseinschränkung muss gesetzlich vorgesehen sein, den Wesensgehalt der betroffenen Rechte und Freiheiten achten und schließlich geeignet und erforderlich sein, um die verfolgte Zielsetzung zu erreichen, sowie dem Grundsatz der Verhältnismäßigkeit entsprechen.

Art. 52 Abs. 1 der Charta bestimmt außerdem, dass die Grundrechtseinschränkung den „Wesensgehalt“ des oder der betroffenen Grundrechte achten muss. Hier bestehen für den Generalanwalt „die größten Zweifel“ vor allem hinsichtlich des Rechts des Lizenznehmers auf einen wirksamen Rechtsbehelf.

Die Wirksamkeit des Rechtsschutzes, den die Lizenznehmerin der verletzten Marke verlangt, scheint in Deutschland unter Umständen wie im vorliegenden Fall ausschließlich davon abzuhängen, dass das Bankinstitut, von dem die Auskunft begehrt wird und das vertraglich gegenüber seinen Kunden zur Verschwiegenheit verpflichtet ist, aus welchem Grund auch immer darauf verzichtet, vom Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO Gebrauch zu machen.

Des Weiteren prüft der Generalanwalt, ob es unter den Umständen des vorliegenden Falles geeignet, erforderlich und verhältnismäßig ist, den Lizenznehmer unter Hinweis auf das Bankgeheimnis die Ausübung seines Rechts auf einen wirksamen Rechtsbehelf zu versagen.

Von besonderer Bedeutung ist für den Generalanwalt die Frage, ob die Einschränkung der Grundrechte erforderlich ist. Die Einschränkung der Grundrechte sei hier nur dann erforderlich, wenn der verfolgte Zweck (Schutz der Kundendaten durch die Bank) nicht auch durch eine Maßnahme erreicht werden kann, die diese Rechte in geringerem Maß einschränkt. Insoweit müsse nach dem Generalanwalt geprüft werden, ob die Daten, die von der Sparkasse verlangt werden, möglicherweise auf einem anderen Weg oder aus einer anderen Quelle als über das Bankinstitut erlangt werden können. In jedem Fall müsse das nationale Gericht im Rahmen dieser Verhältnismäßigkeitsprüfung alle betroffenen Grundrechte berücksichtigen und in der Folge eine Abwägung kollidierender Grundrechte vornehmen.

Data Retention Law: German Minister presents guidelines for future regulation

Today the German Minister for Justice and Consumer Protection, Heiko Maas, presented the “Guidelines for the Introduction of a data retention obligation and maximum retention periods for traffic data” ((GERMAN) PDF).

After the European Court of Justice in April 2014 (C-293/12) found that the European Directive on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks was is invalid and after the German Federal Constitutional Court already in 2010 found that certain provisions on data retention of the Telecommunications Act were unconstitutional in their present form (Press Release), the interested public in Germany was expecting a new proposal for a national data retention law. The guidelines published today only roughly outline the possible substance of a new data retention law in Germany. According to the Ministry, this proposal for a new bill (amending the Telecommunications Act) shall be tabled until this summer.

Very briefly, the guidelines provide the following requirements for a future data retention law:

  • The data affected by the retention obligation: telephone number; point of time and duration of the call; if mobile communication is affected, also the location data; IP-address; point of time and the duration of the allocation of the IP-address
  • Data not affected: content of the communication; websites visited; data of e-mail providers
  • The respective data must be stored in “the interior” (it is not entirely clear whether that means Germany or the European Union)
  • Retention periods: 4 weeks for location data, 10 weeks for the rest
  • Access to data is in general subject to prior review by a court
  • Access to the data shall only be possible in the case of criminal prosecutions concerning “severe” offences. A catalogue of the respective offences is attached to the guidelines, among them murder, aggravated robbery, robbery causing death, forming criminal organisations, forming terrorist organisations but also certain offences under the German narcotics act.
  • Persons affected by an access to their communication data must in general be notified before the data is accessed by the authorities. In some circumstances, secret access might be legal, but notice must then be given afterwards.
  • Legal provisions with the obligation of professional secrecy (lawyers, doctors, etc) will not exempted from the collection of the data, but this data shall not be accessed
  • The creation of personal profiles and profiles consisting of location data is prohibited
  • The data retained must be protected by using a particularly secure encryption method (there no reference to a specific one in the guidelines)
  • If data is accessed, a double-verification-principle (four eyes) must be established
  • If a telecommunication provider does not automatically delete the retained data after the respective periods, he faces monetary fines

Gutachten des Europäischen Parlaments: Voraussetzungen für eine zulässige Vorratsdatenspeicherung

Wie geht es weiter mit einer Vorratsdatenspeicherung in Deutschland? Welche Möglichkeiten bestehen für den nationalen Gesetzgeber, neue Gesetze zu erlassen, nachdem der Gerichtshof der Europäischen Union (EuGH) im April 2014 die EU-Richtlinie zur Vorratsdatenspeicherung für unwirksam erklärt hat (C 293/12)? Ist eine nationale „VDS“ überhaupt möglich?

Antworten auf einige dieser Fragen versucht ein Gutachten des juristischen Dienstes des Europäischen Parlaments aus dem Dezember 2014 (PDF) zu geben. Das Gutachten wurde aufgrund von mehreren Fragen des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) verfasst. Das Gutachten hat einen Umfang von 27 Seiten und soll hier nicht in Gänze besprochen werden. Nachfolgend nur zu einigen, gerade aus der Sicht des deutschen Gesetzgebers relevanten, Aussagen.

Vorschriften zur Speicherung von Daten bei der Nutzung öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat fallen in den Anwendungsbereich von Art. 15 Abs. 1 der RL 2002/58/EG (in der Fassung der RL 2009/136/EG, PDF) und müssen zunächst die gesetzlichen Vorgaben dieser Vorschrift erfüllen. Ein durch gesetzliche Vorschriften zur Speicherung von Daten stattfindender Eingriff in die Rechte der Betroffenen ist danach dann erlaubt,

sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist.

Zudem setzen nationale Vorschriften, die sich auf die Erlaubnis des Art. 15 Abs. 1 der RL 2002/58/EG stützen, europäisches Recht um. Als Folge müssen sich die nationalen Regelungen an den Vorgaben der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF) messen lassen. Insbesondere Art. 7 (Achtung des Privat- und Familienlebens) und 8 (Schutz personenbezogener Daten) sowie Art. 52 Abs. 1 (Tragweite und Auslegung der Rechte und Grundsätze) der EU-Charta sind insofern durch den nationalen Gesetzgeber zu beachten. Bei der Auslegung dieser Artikel ist dann auch das Urteil des EuGH zur Unwirksamkeit der Richtlinie zur Vorratsdatenspeicherung und sind die konkreten Vorgaben des Gerichtshofs zu beachten. Hierzu gehören insbesondere:

  • klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und
  • Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen und
  • Bestimmungen zu entwickeln, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Das Gutachten des juristischen Dienstes geht jedoch nicht davon aus, dass nationale Regelungen zur Vorrastdatenspeicherung per se unzulässig wären. Die Verfasser gehen ausdrücklich davon aus, dass bestehende Regelungen zur Vorratsdatenspeicherung durchaus beibehalten werden können, wenn sie denn die Vorgaben der jeweiligen europäischen Richtlinie und der EU-Charta (unter Berücksichtigung der Auslegung durch den EuGH) erfüllen.

Das Gutachten geht zudem auf die Frage ein, inwieweit das Urteil sowohl bestehende internationale Abkommen zum Datenaustausch oder zur Datenspeicherung berührt und wie die Vorgaben des EuGH bei sich derzeit in Verhandlung befindenden Gesetzesvorhaben (Stichwort „Fluggastdaten“) zu berücksichtigen sind. Das Gutachten ist durchaus lesenswert und zeigt außerdem interessante Parallelen zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte auf.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld “An…” versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.