Bundesrat möchte Datenhehlerei unter Strafe stellen

In seiner heutigen Sitzung hat der Deutsche Bundesrat einen Gesetzesentwurf zur Einführung des Straftatbestandes der Datenhehlerei beschlossen (BR-Drs. 70/14). Der Gesetzentwurf wurde bereits einmal im Jahre 2013 über den Bundesrat in den Bundestag eingebracht, fiel dann aber aufgrund der Wahlen dem Grundsatz der Diskontinuität zum Opfer (hier der Gesetzentwurf: BR-Drs. 284/13 (B)).

Eingeführt werden soll ein neuer § 202d StGB „Datenhehlerei“. Ziel des Entwurfes ist es, Strafbarkeitslücken beim Handel mit rechtswidrig erlangten Daten zu schließen. Mit einer Freiheitsstrafe von immerhin bis zu 5 Jahren oder Geldstrafe soll nach § 202d Abs. 1 StGB-E bestraft werden,

Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder
sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen

Der Gesetzentwurf enthält jedoch insoweit eine Einschränkung, als dass von der Regelung nur die Daten, an deren Nichtweiterverwendung ein schutzwürdiges Interesse besteht und die nicht aus allgemein zugänglichen Quellen entnommen werden können, erfasst werden sollen. Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen, sollen nicht vom Tatbestand der Datenhehlerei erfasst werden. Hierdurch soll ausdrücklich klargestellt werden, dass Amtsträger oder deren Beauftragte beim Ankauf von Datenmaterial zur ausschließlichen Verwendung in einem Besteuerungsverfahren (Stichwort: Steuerdaten-CD), einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren nicht mit Strafe bedroht werden dürfen. Ausdrücklich wird in § 202d Abs. 4 StGB-E auch der Versuch der Datenhehlerei unter Strafe gestellt.

Zudem soll durch den Gesetzentwurf die Strafprozessordnung (StPO) in der Art angepasst werden, dass den Strafverfolgungsbehörden im Rahmen der Untersuchung und Verfolgung einer Datenhehlerei als notwendige Ermittlungsmaßnahmen ohne Wissen der Betroffenen die Überwachung und Aufzeichnung der Telekommunikation (§ 100a StPO) und das Abhören und Aufzeichnen des in einer Wohnung nichtöffentlich gesprochenen Wortes mit technischen Mitteln (§ 100c StPO) zur Verfügung stehen.

Der Gesetzentwurf wird nun der Bundesregierung zugeleitet, die diesen in den Bundestag einbringt. Hierbei können sich freilich noch Änderungen an dem vorgeschlagenen Gesetzestext ergeben und es bleibt abzuwarten, wie sich die endgültige Fassung darstellen wird.

Europarat: Abgeordnete fordern besseren Schutz der Bürger im Internet

Am 11. März hat der Ausschuss für Kultur, Wissenschaft, Bildung und Medien der Parlamentarischen Versammlung des Europarates einen Bericht des deutschen Bundestagsabgeordneten Axel Fischer zur Verbesserung des Schutzes der Nutzer und der Sicherheit im Internet angenommen („Improving user protection and security in cyberspace“ PDF).

Der Bericht enthält sowohl den Entwurf eines Entschlusses als auch den Entwurf einer Empfehlung der Parlamentarischen Versammlung des Europarates. Über beide Entwürfe werden am 9. April in Straßburg verhandelt.

Entwurf eines Entschlusses

Mit der Verabschiedung des Entschlusses würde die Parlamentarische Vollversammlung kein bindendes Recht schaffen, jedoch ihre Position in Bezug auf das Thema Datenschutz, Überwachung und Privatheit im Internet zum Ausdruck bringen. Einige Kernpunkte, die in dem Entschluss angeprangert und auch gefordert werden:

  • Das Vertrauen der Bürger in Internetdienste wurde durch die Enthüllungen und Informationen über Eingriffe in ihre privaten Daten durch europäische und amerikanische Behörden und auch private Unternehmen erschüttert
  • Alle Mitgliedstaaten sind aufgefordert in Zusammenarbeit mit der Internetwirtschaft eine weltweite Initiative zur Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets zu starten
  • Mitgliedstaaten sollen unter anderem folgende Prinzipien effektiv umsetzen und achten:
  1. das Privatleben, die Korrespondenz und die persönlichen Daten müssen auch online geschützt sein
  2. das Abfangen, die Überwachung, die Profilbildung und das Speichern persönlicher Daten durch öffentliche Stellen und Unternehmen ist nur aufgrund einer gesetzlichen Grundlage erlaubt und verstößt nicht gegen Art. 8 EMRK
  3. Mitgliedstaaten besitzen eine positive Rechtspflicht gegenüber ihren Bürgern, diese vor dem Abfangen, Überwachen der Profilbildung und der Speicherung ihrer persönlichen Daten zu schützen
  • Internetzugangs- und Diensteanbieter sollten automatisch Verschlüsselungstechniken einsetzen
  • Gesetzestreue Internetnutzer haben das Recht auf Anonymität
  • Cloud-Computing-Anbieter sollten die Schutzstandards für Nutzer nicht dadurch umgehen, dass sie ihre Datenzentren in „schwächere“ Rechtssysteme verlagern
  • Mitgliedstaaten sollten gesetzliche Grundlagen zur Regulierung von Online-Spiele-Anbietern schaffen; hierbei sollte dasjenige Recht anwendbar sein, in dem sich der Nutzer befindet, auf den der Dienst ausgerichtet ist
  • Betroffene müssen die Möglichkeit effektiven Rechtsschutzes besitzen

Entwurf einer Empfehlung

Der Entwurf für eine Empfehlung enthält konkrete Forderungen der Parlamentarischen Versammlung an das Ministerkomitee, die von jenem auch beantwortet werden müssen. Einige der Kernpunkte sind hier:

  • Als besonders dringliche Angelegenheit die derzeit stattfindende Überarbeitung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) abzuschließen
  • Über-europäische Bestrebungen zur Internationalisierung der ICANN zu unterstützen und zu koordinieren
  • Beobachterstaaten einzuladen, mit den Mitgliedstaaten aktiv bei der Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets mitzuwirken

Die beiden Entwürfe, die noch durch eine Begründung des Berichterstatters Fischer begleitet werden, finden teilweise sehr deutliche und klare Worte, wenn es um die erforderlichen Maßnahmen zum Schutz der Internetnutzer geht. Insbesondere der klare Hinweis auf eine staatliche Schutzpflicht oder ein Recht auf Anonymität sind durchaus bemerkenswert. Es bleibt jedoch abzuwarten, ob die Parlamentarische Versammlung im April die Entwürfe auch ohne Änderungen übernimmt.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe zur Videoüberwachung

Die Aufsichtsbehörden des Bundes und der Länder für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben eine Orientierungshilfe für den rechtskonformen Einsatz zum Betrieb privater Videoüberwachungsanlagen veröffentlicht („Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen„, PDF).
Die Orientierungshilfe soll darüber informieren, unter welchen Voraussetzungen eine Videoüberwachung zulässig ist und welche gesetzlichen Vorgaben dabei einzuhalten sind. Entscheidende Vorschrift ist dabei § 6b BDSG.

Folgende Voraussetzungen sind nach dem Hinweis der Datenschützer bei der Videoüberwachung öffentlich zugänglicher Räume zu beachten:

  • Zweck der Videoüberwachung: bereits vor Einsatz der Videoüberwachung ist das verfolgte Ziel zu konkretisieren. Berechtigte Interessen können ideeller, wirtschaftlicher oder auch rechtlicher Natur sein. Notwendig sind jedoch konkrete Tatsachen, die am besten dokumentiert werden (z. B. Straftaten).
  • Geeignetheit und Erforderlichkeit der Videoüberwachung: Ebenfalls vor der Inbetriebnahme der Kamera ist zu prüfen, ob die Überwachung geeignet und erforderlich ist, um das festgelegte Ziel zu erreichen. „Die Erforderlichkeit einer Videoüberwachung kann nur dann bejaht werden, wenn der beabsichtigte Zweck nicht genauso gut mit einem anderen (wirtschaftlich und organisatorisch) zumutbaren, in die Rechte des Betroffenen weniger eingreifenden, Mittel erreicht werden kann„.
  • Beachtung der schutzwürdigen Interessen des Betroffenen: Die schutzwürdigen Interessen der betroffenen Personen dürfen diejenigen des Betreibers nicht überwiegen. Erforderlich ist daher eine Abwägung der gegenüberstehenden Interessen. „Maßstab der Bewertung ist das informationelle Selbstbestimmungsrecht als besondere Ausprägung des Persönlichkeitsrechts auf der einen und der Schutz des Eigentums oder der körperlichen Unversehrtheit auf der anderen Seite„.
  • Maßnahmen vor Einrichtung: Zudem muss vor Inbetriebnahme der konkrete Zweck der Videoüberwachung schriftlich festgelegt werden und es sind technische und organisatorische Maßnahmen zu treffen (§ 9 BDSG). Ebenfalls ist eine Vorabkontrolle nach § 4d Abs. 5 BDSG erforderlich, wenn „bei dem Einsatz der Videotechnik von besonderen Risiken für die Rechte und Freiheiten der Betroffenen auszugehen ist„.
  • Hinweispflicht: Zudem ist nach § 6b Abs. 2 BDSG der Umstand der Beobachtung und die jeweils verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen. Hierzu bieten sich etwas Schilder oder graphische Symbole an.

Weitere Hinweise geben die Datenschutzbehörden auch zu der Durchführung der Videoüberwachung und der damit einhergehenden Datenverarbeitung an sich, wie etwa zur Speicherdauer und zur Unterrichtungspflicht. Zudem informiert die Orientierungshilfe zu besonderen Konstellationen wie den Einsatz von Webcams oder die Videoüberwachung von Beschäftigten.

Merkel: Wir brauchen eine digitale Agenda!

Bundeskanzlerin Merkel hat sich in ihrem wöchentlichen Podcast, kurz vor der Eröffnung der diesjährigen CeBit Messe in Hannover, mit dem Thema digitale Wirtschaft, Breitband, Datenschutz und Datensicherheit beschäftigt. Das Video ist hier abrufbar, die Textversion hier.

Erfreulich ist, dass die Thematik um die digitale Zukunft Deutschlands und auch Europas einen immer höheren Stellenwert in Regierungskreisen zu erreichen scheint. Dies scheint mir auch geboten. Wie ich bereits zum Thema „Internet der Dinge“ geschrieben hatte, sehe ich gerade für Deutschland doch ein Potential, um sich hier am Weltmerkt zu etablieren und Standards zu setzen.

Digitale Agenda
Die Bundeskanzlerin erklärt in dem Interview, dass die Bundesregierung eine Digitale Agenda von 2014 bis 2017 aufstellen werde. Verantwortlich seien dabei im Kern das Wirtschaftsministerium, das Ministerium für Verkehr und Infrastruktur und das Bundesministerium des Innern. Nach Ansicht der Bundeskanzlerin handelt es sich hierbei um ein übergreifendes Thema. Der Wohlstand in Deutschland werde maßgeblich davon abhängen, wie die klassische Industrie mit der Verschmelzung der digitalen Welt zurecht komme.

Zum einen geht es der Bundeskanzlerin um die Teilhabe der Bevölkerung an neuen Technologien. Hierfür müsse jedoch die Voraussetzung geschaffen werden, dass alle Bürger auch Zugang zu den Entwicklungen haben und daher der Breitbandausbau vorangetrieben werden. Zweitens möchte die Bundeskanzlerin, vor allem auf europäischer Ebene, einen digitalen Markt schaffen. Europa müsse also attraktiv für Unternehmen werden und diese müssen auch wettbewerbsfähig sein. Derzeit hinke Europa hier hinter Staaten wie Amerika oder asiatischen Ländern hinterher. Zudem geht es der Kanzlerin um den Datenschutz. Das derzeit geltende Datenschutzrecht ist in Europa zersplittert. An der Verabschiedung eines einheitlichen Standards, nämlich der derzeit verhandelten Datenschutz-Grundverordnung, werde gearbeitet. Dies wäre gerade auch für die Ansiedlung neuer Firmen in Europa hilfreich. Jedoch betont die Bundeskanzlerin, dass Deutschland den Anspruch habe, seinen hohen Standard beim Datenschutz nicht aufzugeben. Zuletzt verweist die Kanzlerin auch auf nötige Fortschritte bei der Medienerziehung und Aufklärung.

Urheber darf personenbezogene Daten für spätere Gerichtsprozesse speichern

Mit Urteil vom 13.01.2014 (Az.: 1 K 220.12, derzeit leider noch nicht online verfügbar) hat das Verwaltungsgericht (VG) Berlin einen Bescheid des Berliner Datenschutzbeauftragten für rechtswidrig erklärt und aufgehoben. Mit dem Bescheid wurde einem Unternehmen (Klägerin), welches Stadtkarten selbst erstellt oder erworben hatte und diese dann entgeltlich im Internet veröffentlichte, aufgegeben, bei ihm gespeicherte personenbezogene Daten von Mitarbeitern zu löschen, die bei einem Dienstleister angestellt waren, der die Karten für die Klägerin überarbeitete.

Sachverhalt
Die Klägerin verpflichtete den Dienstleister dazu, die Bearbeitungsschritte im einzelnen zu dokumentieren, wozu die jeweiligen Bearbeitungsvorgänge, die eingesetzten Personen mit Namen und die Arbeitszeiten gehörten. Diese Daten wurden bei der Klägerin gespeichert. Hierzu mussten die Mitarbeiter auch eine Erklärung bzw. Einwilligung in die Verarbeitung ihrer Daten unterschreiben. Grund für diese Speicherung war das Interesse der Klägerin, diese Daten bei möglichen zukünftigen Gerichtsverfahren zu präsentieren, um ihre urheberrechtlichen Ansprüche durchzusetzen. Hierzu müsste sie auch ihre Aktivlegitimation, also ihre Urhebereigenschaft, beweisen. Die Datenschutzbehörde sah dies anders und ordnete per Bescheid die Löschung der Daten an. Die Speicherung sei nicht erforderlich, denn eine Vorlage der vertraglichen Vereinbarung zur Rechteübertragung auf die Klägerin sei ausreichend.

Entscheidung
Der Auffassung der Behörde ist das VG nicht gefolgt. Rechtsgrundlage der Speicherung sei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach die Speicherung von personenbezogenen Daten oder ihre Nutzung für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Das berechtigte Interesse der Klägerin bestehe hier darin, die gespeicherten Daten vor Gericht verwenden zu können. Sie habe ein berechtigtes Interesse (welches sich aus § 64 UrhG ergebe) daran, ihre Werke urheberrechtlich effektiv zu schützen. Sie verfolge den legitimen Zweck, vor Gericht den Nachweis ihrer Urhebereigenschaft erbringen zu können. Hierzu hat die Klägerin dem VG auch ein Urteil des Landgericht München I vorgelegt, aus dem hervorging, dass sie den Bearbeitungsprozess der Karten lückenlos dokumentieren muss.

Den Einwand des Berliner Datenschutzbeauftragten, dass ein anonymisierter Zuordnungsnachweis ausreichend sei, lehnte das VG ab. Denn die Zivilgerichte gäben sich mit einer solchen Form der Beweisführung nicht zufrieden. Auch den Einwand, dass die Daten dann zumindest bei dem Dienstleister selbst gespeichert werden sollten, verwarf das Gericht. Zum einen existierte dieser Dienstleister nicht mehr, zum anderen stelle diese Art der Speicherung zwar ein milderes, jedoch kein gleich effektives Mittel zur Interessenwahrung der Klägerin dar. Zuletzt seien die schutzwürdigen Interessen der Betroffenen (Mitarbeiter) vorliegend nicht höher zu gewichten, als das Interesse der Klägerin an der Datenspeicherung. Zwar liege hierdurch ein Eingriff in das Recht auf informationelle Selbstbestimmung vor. Dieser Eingriff sei jedoch zumutbar, wenn man ihn im Vergleich zu den möglichen Rechtsbeeinträchtigungen der Klägerin setze. Denn ohne die Speicherung und mögliche spätere Nutzung könne sie ihr durch Art. 14 GG geschütztes Urheberrecht nicht wahrnehmen und vor Gericht verteidigen.

Eine Anmerkung: interessant an dem Urteil ist, dass das VG mit keinem Wort auf die, durch die Mitarbeiter, erteilte Einwilligung eingeht, welche ja eventuell auch als Rechtsgrundlage der Verarbeitung hätte dienen können. Vielleicht wollte sich das Gericht nicht mit einer Wirksamkeitsprüfung aufhalten und hat daher direkt den gesetzlichen Erlaubnistatbestand herangezogen.

Das Internet der Dinge und Deutschlands Chance

In der digitalen Wirtschaft werden derzeit grundsätzlich zwei Trends der Zukunft diskutiert. Big Data und das Internet der Dinge, wobei beide Bereiche meines Erachtens nicht strikt voneinander zu trennen sind. Beide Entwicklungen enormes Potential für Deutschland und Europa.

Big Data
Big Data, also die Entwicklung des stetigen Wachstums der weltweiten Datenmassen und die Frage nach dem Umgang mit diesen Datenbergen, darf man wohl als eine logische Entwicklung des technischen Fortschritts einer stetig wachsenden Weltbevölkerung bezeichnen. Immer mehr Menschen nutzen das Internet, ja wachsen mit diesem als gegebene Normalität auf. Sei es über den PC, das Handy oder das Tablet. In den Entwicklungsländern nutzen jedoch derzeit nur 31% der Bevölkerung das Internet (Zahlen für 2013 der International Telecommunication Union der Vereinten Nationen). Das Datenaufkommen dürfte daher auch künftig nicht geringer werden.

Man kann sich nun natürlich fragen, wie man mit dieser Tatsache umgeht und ob man ihr positiv oder skeptisch gegenübersteht. Dabei geht es bereits um so fundamentale Fragen, wie etwa derjenigen der Datensparsamkeit im Datenschutzrecht. Sehen wir Daten als „Gefahr“ an und möchten wir ihre Entstehung im Keim ersticken bzw. regulieren oder erkennen wir ein Potential des wirtschaftlichen und gesellschaftlichen Wohlstandes und lassen die Daten sprudeln. Unternehmen und auch Regierungen dürften grundsätzlich ein großes Interesse an Daten und auch an einem Mehr an Daten besitzen. Ebenso wie die Wissenschaft und Forschung. In welchem Schritt des Lebenszyklus eines Datums man regulierend eingreifen möchte, ist wohl vor allem zu Beginn weniger eine rechtliche, als vielmehr eine ideologische Frage. Hier treffen dann auch kulturelle Unterschiede in der Welt aufeinander. Über die tatsächliche rechtliche Ausgestaltung der Vorgaben der Datennutzung, kann man sich auch trefflich streiten. Wichtig erscheint mir jedoch, dass man auf Grundlage der tatsächlichen Fakten und Entwicklungen das Recht schafft und anpasst.

Internet der Dinge
Das Internet der Dinge, also die Verknüpfung von immer mehr Gegenständen in eigenen Netzwerken oder mit dem Internet selbst, ist meines Erachtens ein ebenso nachvollziehbarer Trend. Bisher waren es das Mobiltelefon, der Laptop und das Tablet. Jedoch sollen in Zukunft nun auch andere Alltags- und Haushaltsgegenstände in den Genuss der Digitalisierung kommen. Hierfür gibt es mehrere Schlagwörter: Smart Home, Smart Car, Wearable Technology etc. Uhren, Armbänder, Brillen, aber auch der Fernseher, die Waschmaschine oder der Kühlschrank, ja teilweise auch die Kleidung selbst. Und nicht zuletzt, des Deutschen liebsten Spielzeug, das Auto. All diese Gegenstände werden Daten erzeugen (wenn man nicht gesetzlich vorschreiben möchte, dass sie es nicht dürfen) und damit ebenfalls zum Wachstum des weltweiten Datenflusses beitragen.

Deutschlands Chance
Diese beiden Entwicklungen vollziehen sich bereits derzeit und werden es, in größerem Umfang, auch in der Zukunft tun. Ob wir wollen oder nicht. Man betrachte nur die Technikaffinität in Amerika oder Asien. Die Frage für Deutschland und für Europa darf meines Erachtens nicht sein „Wollen wir da mitmachen?“, sondern „Wie können wir hier führend werden?“. Denn in den letzten Wochen und Monaten ist auch auf politischer Ebene die Erkenntnis gereift, dass Deutschland, das weltweite als Sinnbild für hervorragende Produkte, Industrietechnik und Ingenieurarbeit gilt, im Bereich der Digitalisierung ins Hintertreffen geraten ist. Große Internetkonzerne haben keine deutschen Wurzeln.

Bundeskanzlerin Merkel konstatierte am Wochenende: „Wohlstand wird nur auf dem Erdteil entstehen, wo auch die neuesten Produkte hergestellt werden“ und „Wir werden die Standards für den Umgang mit Daten mit Sicherheit nicht setzen können, wenn wir die Technologie nicht beherrschen„.

Und hier sehe ich gerade für unsere deutsche Wirtschaft eine enorme Chance. Deutschland ist bekannt für seine hochqualitativen, weltweit gefragten Produkte, auch wenn die Exporte 2013 zurückgingen. Wenn sich nun das Internet mit den „normalen“ Produkten verbindet, dann besitzt die deutsche Wirtschaft doch hervorragende Startvoraussetzungen, um diesen Trend mit zu prägen. Denn die „offline“ Grundprodukte werden bereits hier produziert. Und das erfolgreich. Für die Wirtschaft muss es nun darum gehen, diese vorhandenen Waren dem Internet der Dinge anzupassen, in diese Entwicklung zu investieren und ihnen digitales Leben einzuhauchen. Eigentlich müssten in jedem Industrie- und auch Zuliefererbetrieb, der an der Fertigung von Endkundenprodukte beteiligt ist, bereits Entwicklungen anlaufen, um die Möglichkeiten der Vernetzung zu erforschen und zu implementieren. Unternehmen sollten Think-Tanks und Start-Ups unterstützen, die auf diesem Gebiet arbeiten.

Es mag sein, dass wir die Digitalisierung verschlafen haben und aufholen müssen. Doch der Trend, hin zu einer vernetzten Produktwelt, in der nicht nur die „Modeprodukte“ wie Mobiltelefone oder Tablets, die aus anderen Ländern importiert werden, sondern eben auch Produkte der Industrieparadedisziplinen der deutschen Wirtschaft (Stichwort: Auto), eine wesentliche Rolle spielen, gibt uns gerade diese Möglichkeit der Aufholens. Und auch des Setzens von Standards. In meinen Augen hält das Internet der Dinge enormes Potential für Deutschland und Europa bereit. Das sollten wir nicht verschlafen.

LG Saarbrücken: Todesanzeigen im Internet sind erlaubt

Das Landgericht (LG) Saarbrücken hat mit Urteil vom 14.02.2014 (Az.: 13 S 4/14, derzeit noch nicht online abrufbar) entschieden, dass eine Internetseite mit „virtuellen Grabstätten“ nicht gegen das Datenschutzrecht und das postmortale Persönlichkeitsrecht der verstorbenen Person verstößt, wenn die Daten der Todesanzeige aus allgemein zugänglichen Quellen entnommen wurden. Es wies damit die Berufung des Betreibers der entsprechenden Internetseite gegen ein Urteil des Amtsgerichts (AG) Saarlouis (Az. 29 C 1892/12 (16)) teilweise zurück. In Bezug auf Kommentare unter der entsprechenden Todesanzeige, welche die Witwe des Verstorbenen in ihren Rechten verletzten, änderte das LG das erstinstanzliche Urteil jedoch nur ab (und bestätigte damit im Prinzip insoweit die Ansicht des AG).

Dieser, zugegebenermaßen etwas ungewöhnliche Fall, zeigt deutlich, dass nicht notwendigerweise jeder Umgang mit personenbezogenen Daten verboten sein muss. Zudem beleuchtet er, wenn auch nur in einem Nebensatz, die Frage, inwieweit sich eigentlich Verstorbene, bzw. deren Angehörige, auf den Schutz personenbezogener Daten berufen können.

Sachverhalt
Auf einer Internetseite veröffentlichte der Beklagte eine Todesanzeige unter vollständiger Nennung von Vor- und Zunamen, Geburts- und Sterbedatum, Wohnort, Berufsbezeichnung und letzter Ruhestätte des Verstorbenen. Diese Daten waren bereits in Sterbeanzeigen, die u. a. die Witwe selbst aufgegeben hatte, enthalten. Zudem war es Dritten möglich, Kondolenzeinträge (also im Prinzip Kommentare) zu verfassen. Diese Chance nutzte auch eine Dame um mehr oder minder direkt zum Ausdruck zu bringen, dass sie die Geliebte des Verstorbenen gewesen sei. In einem separaten Verfahren wurde sie daraufhin verurteilt, Veröffentlichungen dieser Art zu unterlassen. In erster Instanz erkannte der Beklagte bereits die begehrte Löschung dieser sieben Kondolenzeinträge der Dame an.

Entscheidung
Das LG sah die Verarbeitung der personenbezogenen Daten des Verstorbenen zum Zwecke der Darstellung in der Todesanzeige als rechtmäßig an. Dieser Löschungsanspruch ergebe sich weder aus § 35 Abs. 2 S. 2 Nr. 1 BDSG noch aus dem postmortalen Persönlichkeitsrechts ihres verstorbenen Ehemannes oder ihren eigenen Rechten (§ 1004 Abs. 1 S. 1 BGB analog). Ich möchte mich hier auf einige datenschutzrechtliche Gesichtspunkte der Entscheidung beschränken.

Zum einen tendiert das LG bereits dazu, personenbezogene Daten Verstorbener nicht in den Schutzbereich des BDSG aufzunehmen. Doch selbst wenn diese Schutz genießen würden, so würde die Datenverarbeitung doch rechtmäßig erfolgen.
Ob Daten Verstorbener vom BDSG geschützt werden ist zumindest nicht unumstritten. Gegen eine Einbeziehung könnte jedoch sprechen, dass Rechte der Betroffenen (wie etwa dasjenige auf Löschung oder Auskunft) gerade eine lebende Person voraussetzen. Ein weiteres Argument gegen die Erstreckung des Schutzes auf Verstorbene könnte zudem sein, dass das Bundesverfassungsgericht davon ausgeht, dass das allgemeine Persönlichkeitsrecht mit dem Tod des Betroffenen erlischt. Das Recht auf informationelle Selbstbestimmung, welches als Grundlage des Schutzes personenbezogener Daten dient, ist jedoch nur ein besonderer Teil dieses allgemeinen Persönlichkeitsrechts und erlischt dann folgerichtig ebenso. Schutzlos steht das Ansehen der Verstorbenen (und so mittelbar auch der Umgang mit ihren Daten) damit jedoch nicht. Denn das Bundesverfassungsgericht geht ebenso davon aus, dass der Schutz der Menschenwürde (Art. 1 Abs. 1 GG) nicht mit dem Tode endet (vgl. etwa Az.: 1 BvR 435/68).

Nach dem LG sei jedoch die Speicherung und Veröffentlichung der Todesanzeige rechtmäßig, da sich der Betreiber auf den Erlaubnistatbestand des § 29 Abs. 1 Nr. 2 BDSG berufen könne. Danach ist das geschäftsmäßige Erheben, Speichern und Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
Vorliegend waren die Daten allgemein zugänglich, da die Witwe bereits selbst Todesanzeigen veröffentlicht hatte. Die Verarbeitung wäre nur dann unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle „offensichtlich überwiegt“. Eine umfangreiche Einzelfallprüfung der widerstreitenden Interessen durch den Beklagten war daher nicht erforderlich. Die erleichterten Voraussetzungen der Datenverarbeitung werden vor allem als ein Ausfluss des Grundrechts der Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG angesehen. Das LG führt weiter aus, dass vorliegend eine Abwägung nur mit dem postmortalen Persönlichkeitsrechts des Verstorbenen in Betracht käme, da (entsprechend der oben erwähnten Ansicht des Bundesverfassungsgerichts) das Recht auf informationelle Selbstbestimmung mit dessen Tode erloschen sei. Die hier zu beurteilende Todesanzeige verletze den Verstorbenen jedoch nicht in seinem geschützten Achtungsanspruch. Denn es handele sich um wertneutrale Daten, ohne wertenden Bezug zur Persönlichkeit. Auch „dass die Daten durch eine Veröffentlichung im Internet einer breiteren Öffentlichkeit zugänglich gemacht und möglicherweise auch dauerhaft verfügbar gehalten werden, ändert an dieser Bewertung im Grundsatz nichts“.

Gutachten: Keine Fehler der Kommission beim Auswahlverfahren des neuen europäischen Datenschutzbeauftragten

Wie im Januar in den Medien berichtet wurde, lief am 16.1.2014 die Amtszeit des bisherigen europäischen Datenschutzbeauftragten (Peter Hustinx) und auch seines Stellvertreters aus, ohne dass ein geeigneter Nachfolger gefunden werden konnte. Hustinx hat sich bereit erklärt, bis Oktober kommissarisch im Amt zu bleiben. Bis dahin soll ein neues Bewerbungs- und Auswahlverfahren durchgeführt werden.
Die Ablehnung aller Bewerber durch die Kommission hat in der Öffentlichkeit für Kritik gesorgt, zumal sich unter den Kandidaten (teils ehemalige) Leiter und Stellvertreter europäischer Datenschutzbehörden befanden.

Auf Statewatch.org wurde nun ein Gutachten des juristischen Dienstes (PDF) des europäischen Parlaments veröffentlicht, welches sich mit dem rechtlichen Vorgehen der Europäischen Kommission im Rahmen des Auswahlverfahrens des europäischen Datenschutzbeauftragten befasst. Ich möchte nachfolgend nur auf einige Eckpunkte des Papiers eingehen.

  • Allein die europäische Kommission besitzt die Kompetenz zur Eröffnung des Auswahlverfahrens. Ebenso obliegt es ihr allein dieses Verfahren zu beenden, wenn keine geeigneten Kandidaten gefunden wurden, die dem Rat und dem Parlament zur Wahl vorgeschlagen werden können. Rat und Parlament müssen und dürfen insoweit nicht formell zustimmen.
  • Wenn Bewerber die in der Ausschreibung aufgestellten Kriterien nicht erfüllen (und diese Kriterien im Einklang mit den Vorgaben der hier relevanten Verordnung 45/2001 (PDF) stehen), dann muss die Kommission diese Kandidaten nicht auf die Vorschlagsliste setzen.
  • Die Verordnung 45/2001 gibt in Art. 42 Abs. 2 zwei zwingend zu erfüllende Merkmale vor (kein Zweifel an Unabhängigkeit und herausragende Erfahrung und Sachkunde für die Erfüllung der Aufgaben), die jedoch in der öffentlichen Ausschreibung durch die Kommission weiter umschrieben werden können.
  • Der Kommission fällt zudem ein Ermessen zu, welche weiteren Merkmale sie als Voraussetzungen aufstellt. Diese müssen sich freilich im Rahmen der groben Vorgaben der Verordnung 45/2001 halten und insbesondere an den zukünftigen Aufgaben des europäischen Datenschutzbeauftragten orientieren (Art. 44 bis 47).
  • Im vorliegenden Fall (des erfolglos durchgeführten Bewerbungs- und Auswahlverfahrens) hat die Kommission diese Vorgaben beachtet und ihr Ermessen nicht überschritten.
  • Zudem hat die Kommission das Parlament vor der Veröffentlichung der Stellenausschreibung konsultiert und in Bezug auf die aufgestellten Anforderungen wurden von Seiten des Parlaments keine Bedenken geäußert.

Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

High Court of Berlin: Facebook is subject to German data protection law

On 24 January 2014, the High Court of Berlin upheld a ruling of the District Court of Berlin from 6 March 2012, according to which Facebook is subject to German and not Irish data protection law (the PM and the decision in German can be found here). The proceeding was initiated by the Federation of German Consumer Organisations (VZBV) and mainly dealt with the legality of the friend-finder feature in the social network.

I will only summarize the relevant aspects of the ruling having regard to the question of the applicable data protection law. The key provision for the answer, which national data protection law has to be applied to a processing of personal data in the EU, can be found in Art. 4 of Directive 1995/46/EC („DPD“). Of course, the Court primarily takes into account the relevant national provision of the German Federal Data Protection Act, § 1 (5), but also makes clear that these national provisions have to be interpreted in accordance with the DPD. The High Court at first describes the general principles of these provisions and rightly clarifies that Art. 4 DPD has to be regarded as part of the core elements of the DPD. It furthermore lays down the two possibilities foreseen in Art. 4 (1) DPD, to examine the relevant data protection law. That is

  • According to Art. 4 (1) (a) DPD, the national law of that Member State, where the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; or
  • According to Art. 4 (1) (c) DPD, if the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.

These two possible connecting factors ((1) if the relevant controller is established in the EU OR (2) if the relevant controller is established outside the EU and makes use of equipment within a Member State) are the bases for the first part of the Court’s decision.

According to the ruling, Facebook Inc. in America and not Facebook Ireland has to be regarded as the competent controller for the processing of personal data of German users. So in the Court’s view, the controller is not established in the EU and therefore Art. 4 (1) (c) DPD has to be applied. Facebook Inc. uses Cookies to process personal data of German users. In accordance with the view taken by the Art. 29 Working Party (WP 179, p. 21), the Court considers the placing of Cookies on the PC of a user and the processing of personal data via these Cookies as „making use of equipment“.

In a next step the Court examines, if perhaps nevertheless the relevant establishment for the processing of personal data could in fact be Facebook Ireland. As a consequence, Art. 4 (1) (a) DPD and Irish data protection law would apply to the data processing. This is exactly the view taken by the Higher Administrative Court of Schleswig-Holstein in its ruling from 22 April 2013. The Higher Administrative Court found that only Facebook Ireland can be qualified as the controller for the processing of personal data by German users.

However, the High Court of Berlin does not agree to this finding. According to the Court, Facebook did not sufficiently prove that its establishment in Ireland really determines the means and purposes of the relevant processing operations. In the Court’s view, Facebook Ireland does not effectively and actually exercise the processing operations under consideration. Facebook contended that the establishment in Ireland is the single contractual partner of users outside of North America. But this alone did not convince the Court to qualify Facebook Ireland as the relevant establishment in the sense of Art. 4 (1) (a) DPD. Especially an actual decisive power by Facebook Ireland would be missing. In the Court’s view, the contractual powers of Facebook Ireland towards its parent company in America are displaced by the corporate law competences of Facebook Inc.

The second (and alternative) base of the decision is the recognition of the possibility of a free choice of data protection law. The Court refers to the terms of use of the German Facebook site, where it states that „this statement is subject to German law“. The Court considers this choice of law not only to affect the applicable contract law, but also to encompass data protection law. In the view of the Court, the German Federal Data Protection Act consists of public law as well as private law provisions. With regard to the private law provisions, a choice of law would be possible.
In my opinion, a choice of law is not possible having regard to data protection law. Art. 4 (1) DPD and the relevant national transpositions should be qualified as overriding mandatory rules in the sense of Art. 9 Rom I Regulation or Art. 16 Rom II Regulation. This is also the view, taken by the Higher Administrative Court of Schleswig-Holstein. Unfortunately, the High Court of Berlin does not mention the Rom I or II Regulations. Also the Art. 29 Working Party, in its opinion on apps (WP 202), made clear that „It is important for app developers to know that both directives are imperative laws in [a way; comment by author] that the individual’s rights are non-transferable and not subject to contractual waiver. This means that the applicability or European privacy law cannot be excluded by a unilateral declaration or contractual agreement“ (page 8).

After the decision by the High Court of Berlin, we now face two deviating decisions by High Courts in Germany on the question of the applicable data protection law regarding Facebook and the question of a free choice of data protection law. One has to await, if Facebook proceeds against the decision of the High Court of Berlin.