Europarat: Abgeordnete fordern besseren Schutz der Bürger im Internet

Am 11. März hat der Ausschuss für Kultur, Wissenschaft, Bildung und Medien der Parlamentarischen Versammlung des Europarates einen Bericht des deutschen Bundestagsabgeordneten Axel Fischer zur Verbesserung des Schutzes der Nutzer und der Sicherheit im Internet angenommen („Improving user protection and security in cyberspace“ PDF).

Der Bericht enthält sowohl den Entwurf eines Entschlusses als auch den Entwurf einer Empfehlung der Parlamentarischen Versammlung des Europarates. Über beide Entwürfe werden am 9. April in Straßburg verhandelt.

Entwurf eines Entschlusses

Mit der Verabschiedung des Entschlusses würde die Parlamentarische Vollversammlung kein bindendes Recht schaffen, jedoch ihre Position in Bezug auf das Thema Datenschutz, Überwachung und Privatheit im Internet zum Ausdruck bringen. Einige Kernpunkte, die in dem Entschluss angeprangert und auch gefordert werden:

  • Das Vertrauen der Bürger in Internetdienste wurde durch die Enthüllungen und Informationen über Eingriffe in ihre privaten Daten durch europäische und amerikanische Behörden und auch private Unternehmen erschüttert
  • Alle Mitgliedstaaten sind aufgefordert in Zusammenarbeit mit der Internetwirtschaft eine weltweite Initiative zur Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets zu starten
  • Mitgliedstaaten sollen unter anderem folgende Prinzipien effektiv umsetzen und achten:
  1. das Privatleben, die Korrespondenz und die persönlichen Daten müssen auch online geschützt sein
  2. das Abfangen, die Überwachung, die Profilbildung und das Speichern persönlicher Daten durch öffentliche Stellen und Unternehmen ist nur aufgrund einer gesetzlichen Grundlage erlaubt und verstößt nicht gegen Art. 8 EMRK
  3. Mitgliedstaaten besitzen eine positive Rechtspflicht gegenüber ihren Bürgern, diese vor dem Abfangen, Überwachen der Profilbildung und der Speicherung ihrer persönlichen Daten zu schützen
  • Internetzugangs- und Diensteanbieter sollten automatisch Verschlüsselungstechniken einsetzen
  • Gesetzestreue Internetnutzer haben das Recht auf Anonymität
  • Cloud-Computing-Anbieter sollten die Schutzstandards für Nutzer nicht dadurch umgehen, dass sie ihre Datenzentren in „schwächere“ Rechtssysteme verlagern
  • Mitgliedstaaten sollten gesetzliche Grundlagen zur Regulierung von Online-Spiele-Anbietern schaffen; hierbei sollte dasjenige Recht anwendbar sein, in dem sich der Nutzer befindet, auf den der Dienst ausgerichtet ist
  • Betroffene müssen die Möglichkeit effektiven Rechtsschutzes besitzen

Entwurf einer Empfehlung

Der Entwurf für eine Empfehlung enthält konkrete Forderungen der Parlamentarischen Versammlung an das Ministerkomitee, die von jenem auch beantwortet werden müssen. Einige der Kernpunkte sind hier:

  • Als besonders dringliche Angelegenheit die derzeit stattfindende Überarbeitung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) abzuschließen
  • Über-europäische Bestrebungen zur Internationalisierung der ICANN zu unterstützen und zu koordinieren
  • Beobachterstaaten einzuladen, mit den Mitgliedstaaten aktiv bei der Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets mitzuwirken

Die beiden Entwürfe, die noch durch eine Begründung des Berichterstatters Fischer begleitet werden, finden teilweise sehr deutliche und klare Worte, wenn es um die erforderlichen Maßnahmen zum Schutz der Internetnutzer geht. Insbesondere der klare Hinweis auf eine staatliche Schutzpflicht oder ein Recht auf Anonymität sind durchaus bemerkenswert. Es bleibt jedoch abzuwarten, ob die Parlamentarische Versammlung im April die Entwürfe auch ohne Änderungen übernimmt.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe zur Videoüberwachung

Die Aufsichtsbehörden des Bundes und der Länder für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben eine Orientierungshilfe für den rechtskonformen Einsatz zum Betrieb privater Videoüberwachungsanlagen veröffentlicht („Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen„, PDF).
Die Orientierungshilfe soll darüber informieren, unter welchen Voraussetzungen eine Videoüberwachung zulässig ist und welche gesetzlichen Vorgaben dabei einzuhalten sind. Entscheidende Vorschrift ist dabei § 6b BDSG.

Folgende Voraussetzungen sind nach dem Hinweis der Datenschützer bei der Videoüberwachung öffentlich zugänglicher Räume zu beachten:

  • Zweck der Videoüberwachung: bereits vor Einsatz der Videoüberwachung ist das verfolgte Ziel zu konkretisieren. Berechtigte Interessen können ideeller, wirtschaftlicher oder auch rechtlicher Natur sein. Notwendig sind jedoch konkrete Tatsachen, die am besten dokumentiert werden (z. B. Straftaten).
  • Geeignetheit und Erforderlichkeit der Videoüberwachung: Ebenfalls vor der Inbetriebnahme der Kamera ist zu prüfen, ob die Überwachung geeignet und erforderlich ist, um das festgelegte Ziel zu erreichen. „Die Erforderlichkeit einer Videoüberwachung kann nur dann bejaht werden, wenn der beabsichtigte Zweck nicht genauso gut mit einem anderen (wirtschaftlich und organisatorisch) zumutbaren, in die Rechte des Betroffenen weniger eingreifenden, Mittel erreicht werden kann„.
  • Beachtung der schutzwürdigen Interessen des Betroffenen: Die schutzwürdigen Interessen der betroffenen Personen dürfen diejenigen des Betreibers nicht überwiegen. Erforderlich ist daher eine Abwägung der gegenüberstehenden Interessen. „Maßstab der Bewertung ist das informationelle Selbstbestimmungsrecht als besondere Ausprägung des Persönlichkeitsrechts auf der einen und der Schutz des Eigentums oder der körperlichen Unversehrtheit auf der anderen Seite„.
  • Maßnahmen vor Einrichtung: Zudem muss vor Inbetriebnahme der konkrete Zweck der Videoüberwachung schriftlich festgelegt werden und es sind technische und organisatorische Maßnahmen zu treffen (§ 9 BDSG). Ebenfalls ist eine Vorabkontrolle nach § 4d Abs. 5 BDSG erforderlich, wenn „bei dem Einsatz der Videotechnik von besonderen Risiken für die Rechte und Freiheiten der Betroffenen auszugehen ist„.
  • Hinweispflicht: Zudem ist nach § 6b Abs. 2 BDSG der Umstand der Beobachtung und die jeweils verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen. Hierzu bieten sich etwas Schilder oder graphische Symbole an.

Weitere Hinweise geben die Datenschutzbehörden auch zu der Durchführung der Videoüberwachung und der damit einhergehenden Datenverarbeitung an sich, wie etwa zur Speicherdauer und zur Unterrichtungspflicht. Zudem informiert die Orientierungshilfe zu besonderen Konstellationen wie den Einsatz von Webcams oder die Videoüberwachung von Beschäftigten.

Merkel: Wir brauchen eine digitale Agenda!

Bundeskanzlerin Merkel hat sich in ihrem wöchentlichen Podcast, kurz vor der Eröffnung der diesjährigen CeBit Messe in Hannover, mit dem Thema digitale Wirtschaft, Breitband, Datenschutz und Datensicherheit beschäftigt. Das Video ist hier abrufbar, die Textversion hier.

Erfreulich ist, dass die Thematik um die digitale Zukunft Deutschlands und auch Europas einen immer höheren Stellenwert in Regierungskreisen zu erreichen scheint. Dies scheint mir auch geboten. Wie ich bereits zum Thema „Internet der Dinge“ geschrieben hatte, sehe ich gerade für Deutschland doch ein Potential, um sich hier am Weltmerkt zu etablieren und Standards zu setzen.

Digitale Agenda
Die Bundeskanzlerin erklärt in dem Interview, dass die Bundesregierung eine Digitale Agenda von 2014 bis 2017 aufstellen werde. Verantwortlich seien dabei im Kern das Wirtschaftsministerium, das Ministerium für Verkehr und Infrastruktur und das Bundesministerium des Innern. Nach Ansicht der Bundeskanzlerin handelt es sich hierbei um ein übergreifendes Thema. Der Wohlstand in Deutschland werde maßgeblich davon abhängen, wie die klassische Industrie mit der Verschmelzung der digitalen Welt zurecht komme.

Zum einen geht es der Bundeskanzlerin um die Teilhabe der Bevölkerung an neuen Technologien. Hierfür müsse jedoch die Voraussetzung geschaffen werden, dass alle Bürger auch Zugang zu den Entwicklungen haben und daher der Breitbandausbau vorangetrieben werden. Zweitens möchte die Bundeskanzlerin, vor allem auf europäischer Ebene, einen digitalen Markt schaffen. Europa müsse also attraktiv für Unternehmen werden und diese müssen auch wettbewerbsfähig sein. Derzeit hinke Europa hier hinter Staaten wie Amerika oder asiatischen Ländern hinterher. Zudem geht es der Kanzlerin um den Datenschutz. Das derzeit geltende Datenschutzrecht ist in Europa zersplittert. An der Verabschiedung eines einheitlichen Standards, nämlich der derzeit verhandelten Datenschutz-Grundverordnung, werde gearbeitet. Dies wäre gerade auch für die Ansiedlung neuer Firmen in Europa hilfreich. Jedoch betont die Bundeskanzlerin, dass Deutschland den Anspruch habe, seinen hohen Standard beim Datenschutz nicht aufzugeben. Zuletzt verweist die Kanzlerin auch auf nötige Fortschritte bei der Medienerziehung und Aufklärung.

Urheber darf personenbezogene Daten für spätere Gerichtsprozesse speichern

Mit Urteil vom 13.01.2014 (Az.: 1 K 220.12, derzeit leider noch nicht online verfügbar) hat das Verwaltungsgericht (VG) Berlin einen Bescheid des Berliner Datenschutzbeauftragten für rechtswidrig erklärt und aufgehoben. Mit dem Bescheid wurde einem Unternehmen (Klägerin), welches Stadtkarten selbst erstellt oder erworben hatte und diese dann entgeltlich im Internet veröffentlichte, aufgegeben, bei ihm gespeicherte personenbezogene Daten von Mitarbeitern zu löschen, die bei einem Dienstleister angestellt waren, der die Karten für die Klägerin überarbeitete.

Sachverhalt
Die Klägerin verpflichtete den Dienstleister dazu, die Bearbeitungsschritte im einzelnen zu dokumentieren, wozu die jeweiligen Bearbeitungsvorgänge, die eingesetzten Personen mit Namen und die Arbeitszeiten gehörten. Diese Daten wurden bei der Klägerin gespeichert. Hierzu mussten die Mitarbeiter auch eine Erklärung bzw. Einwilligung in die Verarbeitung ihrer Daten unterschreiben. Grund für diese Speicherung war das Interesse der Klägerin, diese Daten bei möglichen zukünftigen Gerichtsverfahren zu präsentieren, um ihre urheberrechtlichen Ansprüche durchzusetzen. Hierzu müsste sie auch ihre Aktivlegitimation, also ihre Urhebereigenschaft, beweisen. Die Datenschutzbehörde sah dies anders und ordnete per Bescheid die Löschung der Daten an. Die Speicherung sei nicht erforderlich, denn eine Vorlage der vertraglichen Vereinbarung zur Rechteübertragung auf die Klägerin sei ausreichend.

Entscheidung
Der Auffassung der Behörde ist das VG nicht gefolgt. Rechtsgrundlage der Speicherung sei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach die Speicherung von personenbezogenen Daten oder ihre Nutzung für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Das berechtigte Interesse der Klägerin bestehe hier darin, die gespeicherten Daten vor Gericht verwenden zu können. Sie habe ein berechtigtes Interesse (welches sich aus § 64 UrhG ergebe) daran, ihre Werke urheberrechtlich effektiv zu schützen. Sie verfolge den legitimen Zweck, vor Gericht den Nachweis ihrer Urhebereigenschaft erbringen zu können. Hierzu hat die Klägerin dem VG auch ein Urteil des Landgericht München I vorgelegt, aus dem hervorging, dass sie den Bearbeitungsprozess der Karten lückenlos dokumentieren muss.

Den Einwand des Berliner Datenschutzbeauftragten, dass ein anonymisierter Zuordnungsnachweis ausreichend sei, lehnte das VG ab. Denn die Zivilgerichte gäben sich mit einer solchen Form der Beweisführung nicht zufrieden. Auch den Einwand, dass die Daten dann zumindest bei dem Dienstleister selbst gespeichert werden sollten, verwarf das Gericht. Zum einen existierte dieser Dienstleister nicht mehr, zum anderen stelle diese Art der Speicherung zwar ein milderes, jedoch kein gleich effektives Mittel zur Interessenwahrung der Klägerin dar. Zuletzt seien die schutzwürdigen Interessen der Betroffenen (Mitarbeiter) vorliegend nicht höher zu gewichten, als das Interesse der Klägerin an der Datenspeicherung. Zwar liege hierdurch ein Eingriff in das Recht auf informationelle Selbstbestimmung vor. Dieser Eingriff sei jedoch zumutbar, wenn man ihn im Vergleich zu den möglichen Rechtsbeeinträchtigungen der Klägerin setze. Denn ohne die Speicherung und mögliche spätere Nutzung könne sie ihr durch Art. 14 GG geschütztes Urheberrecht nicht wahrnehmen und vor Gericht verteidigen.

Eine Anmerkung: interessant an dem Urteil ist, dass das VG mit keinem Wort auf die, durch die Mitarbeiter, erteilte Einwilligung eingeht, welche ja eventuell auch als Rechtsgrundlage der Verarbeitung hätte dienen können. Vielleicht wollte sich das Gericht nicht mit einer Wirksamkeitsprüfung aufhalten und hat daher direkt den gesetzlichen Erlaubnistatbestand herangezogen.

Das Internet der Dinge und Deutschlands Chance

In der digitalen Wirtschaft werden derzeit grundsätzlich zwei Trends der Zukunft diskutiert. Big Data und das Internet der Dinge, wobei beide Bereiche meines Erachtens nicht strikt voneinander zu trennen sind. Beide Entwicklungen enormes Potential für Deutschland und Europa.

Big Data
Big Data, also die Entwicklung des stetigen Wachstums der weltweiten Datenmassen und die Frage nach dem Umgang mit diesen Datenbergen, darf man wohl als eine logische Entwicklung des technischen Fortschritts einer stetig wachsenden Weltbevölkerung bezeichnen. Immer mehr Menschen nutzen das Internet, ja wachsen mit diesem als gegebene Normalität auf. Sei es über den PC, das Handy oder das Tablet. In den Entwicklungsländern nutzen jedoch derzeit nur 31% der Bevölkerung das Internet (Zahlen für 2013 der International Telecommunication Union der Vereinten Nationen). Das Datenaufkommen dürfte daher auch künftig nicht geringer werden.

Man kann sich nun natürlich fragen, wie man mit dieser Tatsache umgeht und ob man ihr positiv oder skeptisch gegenübersteht. Dabei geht es bereits um so fundamentale Fragen, wie etwa derjenigen der Datensparsamkeit im Datenschutzrecht. Sehen wir Daten als „Gefahr“ an und möchten wir ihre Entstehung im Keim ersticken bzw. regulieren oder erkennen wir ein Potential des wirtschaftlichen und gesellschaftlichen Wohlstandes und lassen die Daten sprudeln. Unternehmen und auch Regierungen dürften grundsätzlich ein großes Interesse an Daten und auch an einem Mehr an Daten besitzen. Ebenso wie die Wissenschaft und Forschung. In welchem Schritt des Lebenszyklus eines Datums man regulierend eingreifen möchte, ist wohl vor allem zu Beginn weniger eine rechtliche, als vielmehr eine ideologische Frage. Hier treffen dann auch kulturelle Unterschiede in der Welt aufeinander. Über die tatsächliche rechtliche Ausgestaltung der Vorgaben der Datennutzung, kann man sich auch trefflich streiten. Wichtig erscheint mir jedoch, dass man auf Grundlage der tatsächlichen Fakten und Entwicklungen das Recht schafft und anpasst.

Internet der Dinge
Das Internet der Dinge, also die Verknüpfung von immer mehr Gegenständen in eigenen Netzwerken oder mit dem Internet selbst, ist meines Erachtens ein ebenso nachvollziehbarer Trend. Bisher waren es das Mobiltelefon, der Laptop und das Tablet. Jedoch sollen in Zukunft nun auch andere Alltags- und Haushaltsgegenstände in den Genuss der Digitalisierung kommen. Hierfür gibt es mehrere Schlagwörter: Smart Home, Smart Car, Wearable Technology etc. Uhren, Armbänder, Brillen, aber auch der Fernseher, die Waschmaschine oder der Kühlschrank, ja teilweise auch die Kleidung selbst. Und nicht zuletzt, des Deutschen liebsten Spielzeug, das Auto. All diese Gegenstände werden Daten erzeugen (wenn man nicht gesetzlich vorschreiben möchte, dass sie es nicht dürfen) und damit ebenfalls zum Wachstum des weltweiten Datenflusses beitragen.

Deutschlands Chance
Diese beiden Entwicklungen vollziehen sich bereits derzeit und werden es, in größerem Umfang, auch in der Zukunft tun. Ob wir wollen oder nicht. Man betrachte nur die Technikaffinität in Amerika oder Asien. Die Frage für Deutschland und für Europa darf meines Erachtens nicht sein „Wollen wir da mitmachen?“, sondern „Wie können wir hier führend werden?“. Denn in den letzten Wochen und Monaten ist auch auf politischer Ebene die Erkenntnis gereift, dass Deutschland, das weltweite als Sinnbild für hervorragende Produkte, Industrietechnik und Ingenieurarbeit gilt, im Bereich der Digitalisierung ins Hintertreffen geraten ist. Große Internetkonzerne haben keine deutschen Wurzeln.

Bundeskanzlerin Merkel konstatierte am Wochenende: „Wohlstand wird nur auf dem Erdteil entstehen, wo auch die neuesten Produkte hergestellt werden“ und „Wir werden die Standards für den Umgang mit Daten mit Sicherheit nicht setzen können, wenn wir die Technologie nicht beherrschen„.

Und hier sehe ich gerade für unsere deutsche Wirtschaft eine enorme Chance. Deutschland ist bekannt für seine hochqualitativen, weltweit gefragten Produkte, auch wenn die Exporte 2013 zurückgingen. Wenn sich nun das Internet mit den „normalen“ Produkten verbindet, dann besitzt die deutsche Wirtschaft doch hervorragende Startvoraussetzungen, um diesen Trend mit zu prägen. Denn die „offline“ Grundprodukte werden bereits hier produziert. Und das erfolgreich. Für die Wirtschaft muss es nun darum gehen, diese vorhandenen Waren dem Internet der Dinge anzupassen, in diese Entwicklung zu investieren und ihnen digitales Leben einzuhauchen. Eigentlich müssten in jedem Industrie- und auch Zuliefererbetrieb, der an der Fertigung von Endkundenprodukte beteiligt ist, bereits Entwicklungen anlaufen, um die Möglichkeiten der Vernetzung zu erforschen und zu implementieren. Unternehmen sollten Think-Tanks und Start-Ups unterstützen, die auf diesem Gebiet arbeiten.

Es mag sein, dass wir die Digitalisierung verschlafen haben und aufholen müssen. Doch der Trend, hin zu einer vernetzten Produktwelt, in der nicht nur die „Modeprodukte“ wie Mobiltelefone oder Tablets, die aus anderen Ländern importiert werden, sondern eben auch Produkte der Industrieparadedisziplinen der deutschen Wirtschaft (Stichwort: Auto), eine wesentliche Rolle spielen, gibt uns gerade diese Möglichkeit der Aufholens. Und auch des Setzens von Standards. In meinen Augen hält das Internet der Dinge enormes Potential für Deutschland und Europa bereit. Das sollten wir nicht verschlafen.

LG Saarbrücken: Todesanzeigen im Internet sind erlaubt

Das Landgericht (LG) Saarbrücken hat mit Urteil vom 14.02.2014 (Az.: 13 S 4/14, derzeit noch nicht online abrufbar) entschieden, dass eine Internetseite mit „virtuellen Grabstätten“ nicht gegen das Datenschutzrecht und das postmortale Persönlichkeitsrecht der verstorbenen Person verstößt, wenn die Daten der Todesanzeige aus allgemein zugänglichen Quellen entnommen wurden. Es wies damit die Berufung des Betreibers der entsprechenden Internetseite gegen ein Urteil des Amtsgerichts (AG) Saarlouis (Az. 29 C 1892/12 (16)) teilweise zurück. In Bezug auf Kommentare unter der entsprechenden Todesanzeige, welche die Witwe des Verstorbenen in ihren Rechten verletzten, änderte das LG das erstinstanzliche Urteil jedoch nur ab (und bestätigte damit im Prinzip insoweit die Ansicht des AG).

Dieser, zugegebenermaßen etwas ungewöhnliche Fall, zeigt deutlich, dass nicht notwendigerweise jeder Umgang mit personenbezogenen Daten verboten sein muss. Zudem beleuchtet er, wenn auch nur in einem Nebensatz, die Frage, inwieweit sich eigentlich Verstorbene, bzw. deren Angehörige, auf den Schutz personenbezogener Daten berufen können.

Sachverhalt
Auf einer Internetseite veröffentlichte der Beklagte eine Todesanzeige unter vollständiger Nennung von Vor- und Zunamen, Geburts- und Sterbedatum, Wohnort, Berufsbezeichnung und letzter Ruhestätte des Verstorbenen. Diese Daten waren bereits in Sterbeanzeigen, die u. a. die Witwe selbst aufgegeben hatte, enthalten. Zudem war es Dritten möglich, Kondolenzeinträge (also im Prinzip Kommentare) zu verfassen. Diese Chance nutzte auch eine Dame um mehr oder minder direkt zum Ausdruck zu bringen, dass sie die Geliebte des Verstorbenen gewesen sei. In einem separaten Verfahren wurde sie daraufhin verurteilt, Veröffentlichungen dieser Art zu unterlassen. In erster Instanz erkannte der Beklagte bereits die begehrte Löschung dieser sieben Kondolenzeinträge der Dame an.

Entscheidung
Das LG sah die Verarbeitung der personenbezogenen Daten des Verstorbenen zum Zwecke der Darstellung in der Todesanzeige als rechtmäßig an. Dieser Löschungsanspruch ergebe sich weder aus § 35 Abs. 2 S. 2 Nr. 1 BDSG noch aus dem postmortalen Persönlichkeitsrechts ihres verstorbenen Ehemannes oder ihren eigenen Rechten (§ 1004 Abs. 1 S. 1 BGB analog). Ich möchte mich hier auf einige datenschutzrechtliche Gesichtspunkte der Entscheidung beschränken.

Zum einen tendiert das LG bereits dazu, personenbezogene Daten Verstorbener nicht in den Schutzbereich des BDSG aufzunehmen. Doch selbst wenn diese Schutz genießen würden, so würde die Datenverarbeitung doch rechtmäßig erfolgen.
Ob Daten Verstorbener vom BDSG geschützt werden ist zumindest nicht unumstritten. Gegen eine Einbeziehung könnte jedoch sprechen, dass Rechte der Betroffenen (wie etwa dasjenige auf Löschung oder Auskunft) gerade eine lebende Person voraussetzen. Ein weiteres Argument gegen die Erstreckung des Schutzes auf Verstorbene könnte zudem sein, dass das Bundesverfassungsgericht davon ausgeht, dass das allgemeine Persönlichkeitsrecht mit dem Tod des Betroffenen erlischt. Das Recht auf informationelle Selbstbestimmung, welches als Grundlage des Schutzes personenbezogener Daten dient, ist jedoch nur ein besonderer Teil dieses allgemeinen Persönlichkeitsrechts und erlischt dann folgerichtig ebenso. Schutzlos steht das Ansehen der Verstorbenen (und so mittelbar auch der Umgang mit ihren Daten) damit jedoch nicht. Denn das Bundesverfassungsgericht geht ebenso davon aus, dass der Schutz der Menschenwürde (Art. 1 Abs. 1 GG) nicht mit dem Tode endet (vgl. etwa Az.: 1 BvR 435/68).

Nach dem LG sei jedoch die Speicherung und Veröffentlichung der Todesanzeige rechtmäßig, da sich der Betreiber auf den Erlaubnistatbestand des § 29 Abs. 1 Nr. 2 BDSG berufen könne. Danach ist das geschäftsmäßige Erheben, Speichern und Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
Vorliegend waren die Daten allgemein zugänglich, da die Witwe bereits selbst Todesanzeigen veröffentlicht hatte. Die Verarbeitung wäre nur dann unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle „offensichtlich überwiegt“. Eine umfangreiche Einzelfallprüfung der widerstreitenden Interessen durch den Beklagten war daher nicht erforderlich. Die erleichterten Voraussetzungen der Datenverarbeitung werden vor allem als ein Ausfluss des Grundrechts der Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG angesehen. Das LG führt weiter aus, dass vorliegend eine Abwägung nur mit dem postmortalen Persönlichkeitsrechts des Verstorbenen in Betracht käme, da (entsprechend der oben erwähnten Ansicht des Bundesverfassungsgerichts) das Recht auf informationelle Selbstbestimmung mit dessen Tode erloschen sei. Die hier zu beurteilende Todesanzeige verletze den Verstorbenen jedoch nicht in seinem geschützten Achtungsanspruch. Denn es handele sich um wertneutrale Daten, ohne wertenden Bezug zur Persönlichkeit. Auch „dass die Daten durch eine Veröffentlichung im Internet einer breiteren Öffentlichkeit zugänglich gemacht und möglicherweise auch dauerhaft verfügbar gehalten werden, ändert an dieser Bewertung im Grundsatz nichts“.

Gutachten: Keine Fehler der Kommission beim Auswahlverfahren des neuen europäischen Datenschutzbeauftragten

Wie im Januar in den Medien berichtet wurde, lief am 16.1.2014 die Amtszeit des bisherigen europäischen Datenschutzbeauftragten (Peter Hustinx) und auch seines Stellvertreters aus, ohne dass ein geeigneter Nachfolger gefunden werden konnte. Hustinx hat sich bereit erklärt, bis Oktober kommissarisch im Amt zu bleiben. Bis dahin soll ein neues Bewerbungs- und Auswahlverfahren durchgeführt werden.
Die Ablehnung aller Bewerber durch die Kommission hat in der Öffentlichkeit für Kritik gesorgt, zumal sich unter den Kandidaten (teils ehemalige) Leiter und Stellvertreter europäischer Datenschutzbehörden befanden.

Auf Statewatch.org wurde nun ein Gutachten des juristischen Dienstes (PDF) des europäischen Parlaments veröffentlicht, welches sich mit dem rechtlichen Vorgehen der Europäischen Kommission im Rahmen des Auswahlverfahrens des europäischen Datenschutzbeauftragten befasst. Ich möchte nachfolgend nur auf einige Eckpunkte des Papiers eingehen.

  • Allein die europäische Kommission besitzt die Kompetenz zur Eröffnung des Auswahlverfahrens. Ebenso obliegt es ihr allein dieses Verfahren zu beenden, wenn keine geeigneten Kandidaten gefunden wurden, die dem Rat und dem Parlament zur Wahl vorgeschlagen werden können. Rat und Parlament müssen und dürfen insoweit nicht formell zustimmen.
  • Wenn Bewerber die in der Ausschreibung aufgestellten Kriterien nicht erfüllen (und diese Kriterien im Einklang mit den Vorgaben der hier relevanten Verordnung 45/2001 (PDF) stehen), dann muss die Kommission diese Kandidaten nicht auf die Vorschlagsliste setzen.
  • Die Verordnung 45/2001 gibt in Art. 42 Abs. 2 zwei zwingend zu erfüllende Merkmale vor (kein Zweifel an Unabhängigkeit und herausragende Erfahrung und Sachkunde für die Erfüllung der Aufgaben), die jedoch in der öffentlichen Ausschreibung durch die Kommission weiter umschrieben werden können.
  • Der Kommission fällt zudem ein Ermessen zu, welche weiteren Merkmale sie als Voraussetzungen aufstellt. Diese müssen sich freilich im Rahmen der groben Vorgaben der Verordnung 45/2001 halten und insbesondere an den zukünftigen Aufgaben des europäischen Datenschutzbeauftragten orientieren (Art. 44 bis 47).
  • Im vorliegenden Fall (des erfolglos durchgeführten Bewerbungs- und Auswahlverfahrens) hat die Kommission diese Vorgaben beachtet und ihr Ermessen nicht überschritten.
  • Zudem hat die Kommission das Parlament vor der Veröffentlichung der Stellenausschreibung konsultiert und in Bezug auf die aufgestellten Anforderungen wurden von Seiten des Parlaments keine Bedenken geäußert.

Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

High Court of Berlin: Facebook is subject to German data protection law

On 24 January 2014, the High Court of Berlin upheld a ruling of the District Court of Berlin from 6 March 2012, according to which Facebook is subject to German and not Irish data protection law (the PM and the decision in German can be found here). The proceeding was initiated by the Federation of German Consumer Organisations (VZBV) and mainly dealt with the legality of the friend-finder feature in the social network.

I will only summarize the relevant aspects of the ruling having regard to the question of the applicable data protection law. The key provision for the answer, which national data protection law has to be applied to a processing of personal data in the EU, can be found in Art. 4 of Directive 1995/46/EC („DPD“). Of course, the Court primarily takes into account the relevant national provision of the German Federal Data Protection Act, § 1 (5), but also makes clear that these national provisions have to be interpreted in accordance with the DPD. The High Court at first describes the general principles of these provisions and rightly clarifies that Art. 4 DPD has to be regarded as part of the core elements of the DPD. It furthermore lays down the two possibilities foreseen in Art. 4 (1) DPD, to examine the relevant data protection law. That is

  • According to Art. 4 (1) (a) DPD, the national law of that Member State, where the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; or
  • According to Art. 4 (1) (c) DPD, if the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.

These two possible connecting factors ((1) if the relevant controller is established in the EU OR (2) if the relevant controller is established outside the EU and makes use of equipment within a Member State) are the bases for the first part of the Court’s decision.

According to the ruling, Facebook Inc. in America and not Facebook Ireland has to be regarded as the competent controller for the processing of personal data of German users. So in the Court’s view, the controller is not established in the EU and therefore Art. 4 (1) (c) DPD has to be applied. Facebook Inc. uses Cookies to process personal data of German users. In accordance with the view taken by the Art. 29 Working Party (WP 179, p. 21), the Court considers the placing of Cookies on the PC of a user and the processing of personal data via these Cookies as „making use of equipment“.

In a next step the Court examines, if perhaps nevertheless the relevant establishment for the processing of personal data could in fact be Facebook Ireland. As a consequence, Art. 4 (1) (a) DPD and Irish data protection law would apply to the data processing. This is exactly the view taken by the Higher Administrative Court of Schleswig-Holstein in its ruling from 22 April 2013. The Higher Administrative Court found that only Facebook Ireland can be qualified as the controller for the processing of personal data by German users.

However, the High Court of Berlin does not agree to this finding. According to the Court, Facebook did not sufficiently prove that its establishment in Ireland really determines the means and purposes of the relevant processing operations. In the Court’s view, Facebook Ireland does not effectively and actually exercise the processing operations under consideration. Facebook contended that the establishment in Ireland is the single contractual partner of users outside of North America. But this alone did not convince the Court to qualify Facebook Ireland as the relevant establishment in the sense of Art. 4 (1) (a) DPD. Especially an actual decisive power by Facebook Ireland would be missing. In the Court’s view, the contractual powers of Facebook Ireland towards its parent company in America are displaced by the corporate law competences of Facebook Inc.

The second (and alternative) base of the decision is the recognition of the possibility of a free choice of data protection law. The Court refers to the terms of use of the German Facebook site, where it states that „this statement is subject to German law“. The Court considers this choice of law not only to affect the applicable contract law, but also to encompass data protection law. In the view of the Court, the German Federal Data Protection Act consists of public law as well as private law provisions. With regard to the private law provisions, a choice of law would be possible.
In my opinion, a choice of law is not possible having regard to data protection law. Art. 4 (1) DPD and the relevant national transpositions should be qualified as overriding mandatory rules in the sense of Art. 9 Rom I Regulation or Art. 16 Rom II Regulation. This is also the view, taken by the Higher Administrative Court of Schleswig-Holstein. Unfortunately, the High Court of Berlin does not mention the Rom I or II Regulations. Also the Art. 29 Working Party, in its opinion on apps (WP 202), made clear that „It is important for app developers to know that both directives are imperative laws in [a way; comment by author] that the individual’s rights are non-transferable and not subject to contractual waiver. This means that the applicability or European privacy law cannot be excluded by a unilateral declaration or contractual agreement“ (page 8).

After the decision by the High Court of Berlin, we now face two deviating decisions by High Courts in Germany on the question of the applicable data protection law regarding Facebook and the question of a free choice of data protection law. One has to await, if Facebook proceeds against the decision of the High Court of Berlin.

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht – und nun?

Mit Urteil vom 24.01.2014 (Az. 5 U 42/12 (hier als PDF)) hat das Kammergericht (KG) die Berufung von Facebook im Streit mit dem VZBV um die Zulässigkeit des Freunde-Finders zurückgewiesen (hier die Pressemitteilung). Das Urteil ist nun im Volltext verfügbar und der Inhalt dürfte durchaus für Diskussionen sorgen. Denn das KG bestätigt die Auffassung des Landgerichts Berlin (Az. 16 O 551/10), wonach im europäischen Datenschutzrecht eine Rechtswahl zwischen den Parteien möglich ist. Selbst ohne eine solche Rechtswahl fände vorliegend jedoch deutsches Datenschutzrecht Anwendung, da nicht Facebook Irland, sondern vielmehr die Muttergesellschaft in Amerika allein die verantwortliche Stelle der Datenverarbeitung sei. Da diese nicht in Europa sitze, jedoch auf die Daten von Nutzern in Deutschland zurückgreife, gelte deutsches Datenschutzrecht.

Die Frage des anwendbaren Datenschutzrechts ist freilich nur die (wenn auch notwendig) zu prüfende Vorstufe, um zu einer Beurteilung der Rechtmäßigkeit des Freunde-Finders an sich zu gelangen. Ich möchte mich nachfolgend jedoch auf diese Vorfrage beschränken, denn ihre Beantwortung ist besonders vor dem Hintergrund interessant, dass sowohl das VG (Az.: 8 B 60/12; 8 B 61/12) als auch das OVG Schleswig (Az.: 4 MB 10/13) die Anwendbarkeit deutschen Datenschutzrechts abgelehnt haben. Wir haben also in Deutschland nun zwei Obergerichte, die hier unterschiedlicher Auffassung sind. Man sollte meines Erachtens zudem beachten, dass es bei dieser Frage nicht um „Facebook“-Bashing gehen darf, sondern diese Thematik vielmehr für jeglichen internationalen Anbieter von Dienstleistungen im Internet von Interesse ist.

Anwendbares Recht nach der EU-Datenschutz-Richtlinie
Das Kammergericht geht in seiner Entscheidung zunächst auf die im BDSG zum anwendbaren Recht festgeschriebenen Grundsätze (§ 1 Abs. 5 BDSG und deren europarechtliche Grundlage in Art. 4 RL 1995/46/EG, (DS-RL)) ein. Die Vorgaben aus der DS-RL sind als eine angestrebte Vollharmonisierung des Datenschutzrechts zu verstehen, zumindest soweit die entsprechende Vorschrift inhaltlich unbedingt und hinreichend genau ist.
Diese Voraussetzungen sind für Art. 4 DS-RL erfüllt. Richtigerweise stellt das KG fest, das die Vorschriften zum anwendbaren Recht „zum Kernbereich dieser Richtlinie“ gehören. Das KG erläutert dann zunächst die beiden möglichen Varianten, die als Anknüpfungspunkt des anzuwendenden Datenschutzrechts in Frage kommen. Einmal in Art. 4 Abs. 1 lit. a DS-RL der Sitz der verantwortlichen Stelle, wenn diese sich innerhalb der EU befindet oder nach Art. 4 Abs. 1 lit. c DS-RL der Anknüpfungspunkt des „Zurückgreifens“ auf in einem Mitgliedstaat belegene Mittel, wenn die verantwortliche Stelle der Datenverarbeitung nicht in der EU oder dem EWR sitzt.

Verantwortliche Stelle außerhalb der EU
Das KG beginnt seine Prüfung mit der Variante des Art. 4 Abs. 1 Lit. c DS-RL. Und hier wird das Urteil nun interessant und weicht von den oben angeführten Entscheidungen der Gerichte in Schleswig-Holstein ab. Denn das KG geht davon aus, dass nicht die Europazentrale von Facebook in Irland für die Datenverarbeitung deutscher Nutzer verantwortlich ist, sondern allein die Muttergesellschaft in den USA.

Ebenso werden die u?ber den Internetauftritt der Beklagten erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von dieser Muttergesellschaft verarbeitet.

Diese Feststellung des Gerichts ist erforderlich, um in den Anwendungsbereich von Art. 4 Abs. 1 lit. c DS-RL zu gelangen. Denn wenn die irische Niederlassung verantwortlich wäre, so würde Art. 4 Abs. 1 lit. a DS-RL eingreifen und irisches Datenschutzrecht zur Anwendung kommen (in diesem Sinne hatten die Gerichte in Schleswig-Holstein entschieden). Übereinstimmend mit der Ansicht der Art. 29 Datenschutzgruppe (Stellungnahme WP 179) geht das KG dann davon aus, dass auf „automatisierte oder nicht automatisierte Mittel“ zurückgegriffen wird, wenn Cookies auf einem PC platziert und hierdurch personenbezogene Daten erhoben werden. Das KG nimmt diese Konstellation für Facebook USA an. Facebook USA setze Cookies auf Rechnern von deutschen Nutzern und greife daher auf „Mittel“ in Deutschland zurück. Daher gelte deutsches Datenschutzrecht. Zudem sieht das KG (sozusagen alternativ) den Auftragsdatenverarbeiter des Konzerns, der einer Niederlassung in Deutschland besitzt, als ein „Mittel“ an, auf das Facebook USA zurückgreift. Auch deshalb gelte deutsches Datenschutzrecht.

Diese Ansicht halte ich im Ergebnis für vertretbar. Manche europäische Datenschutzbehörden sehen sogar die eigenen Niederlassungen von außereuropäischen Unternehmen als solche „Mittel“ an. Was jedoch leider in dem Urteil etwas zu kurz kommt ist die, meines Erachtens gerade im Datenschutzrecht erforderliche, Differenzierung der verschiedenen Datenverarbeitungsvorgänge. Natürlich ist es möglich, dass Facebook USA Cookies einsetzt und hierüber Daten verarbeitet. Doch darf man damit nicht die kompletten Datenverarbeitungsvorgänge eines Weltkonzerns über einen Kamm scheren. Es scheint doch durchaus möglich, dass etwa für einen Verarbeitungsprozess die Muttergesellschaft, für einen anderen jedoch eine europäische Niederlassung verantwortlich ist. Wer für welchen Verarbeitungsvorgang verantwortlich ist, muss freilich auf einer tatsächlichen Ebene ermittelt bzw. vorgetragen werden.

Verantwortliche Stelle innerhalb der EU
In einem nächsten Schritt prüft das KG, ob nicht eventuell die Niederlassung in Irland doch als verantwortliche Stelle anzusehen sei und daher irisches Recht Anwendung finden würde (Art. 4 Abs. 1 lit. a DS-RL; falls dem so seien sollte, dann wäre die Vorschrift es Art. 4 Abs. 1 lit. c DS-RL quasi „gesperrt“. Daher hätte man sicherlich auch zunächst die Voraussetzungen von Art. 4 Abs. 1 lit. a DS-RL prüfen können). Und mit Blick auf die irische Niederlassung stellt das KG fest:

„Es fehlt aber ein hinreichender Vortrag dazu, dass sie die hier maßgebliche Erhebung und weitere Verarbeitung der Daten vornimmt.“

Das KG legt, wie eigentlich in dem gesamten Urteilsabschnitt zum anwendbaren Recht, richtigerweise die Bestimmung des § 1 Abs. 5 S. 1 BDSG richtlinienkonform aus. Nach dieser Vorschrift gilt grundsätzlich das Datenschutzrecht desjenigen Mitgliedstaates, in dem die verantwortliche Stelle belegen ist. Für das KG muss jedoch hinzukommen, dass die Datenverarbeitungsvorgänge auch „effektiv und tatsächlich“ dort ausgeführt werden. Diese Voraussetzung sieht es hier nicht als erfüllt an.

Auch diese Ansicht ist meines Erachtens grundsätzlich richtig. Die Art. 29 Datenschutzgruppe spricht in ihren Stellungnahmen in diesem Zusammenhang gerne von der „relevanten Niederlassung“. Es kommt im Rahmen der Prüfung des Art. 4 Abs. 1 lit. a DS-RL entscheidend darauf an, inwieweit eine europäische Niederlassung als verantwortliche Stelle angesehen werden kann. Für diese Prüfung ist von entscheidender Bedeutung, welche tatsächlichen Einflussmöglichkeiten sie auf den jeweiligen Verarbeitungsprozess besitzt.
Das Vorbringen von Facebook in dem Prozess konnte das KG nicht überzeugen.

„Die Beklagte trägt nur vor, sie sei alleinige Vertragspartnerin aller Facebook Nutzer außerhalb Nordamerikas. … Eine eigene effektive und tatsächliche Datenverarbeitung (mittels eigener Datenverarbeitungsanlagen und eigenem Personal) wird damit nicht dargetan. … Letztlich bezieht sie sich insoweit auch nur auf die tatsächliche Datenverarbeitung durch ihre Muttergesellschaft. Weitergehendes hat die Beklagte auch nach Erörterung in der mündlichen Verhandlung vor dem Senat nicht geltend gemacht.“

Es kommt also entscheidend auf die dargelegten, tatsächlichen Gegebenheiten an. Anders als in den Prozessen in Schleswig-Holstein konnte Facebook das KG jedoch nicht davon überzeugen, für die relevanten Vorgänge allein verantwortlich zu sein.

Im Ergebnis ist die Entscheidung des KG hinsichtlich dieses Komplexes daher konsequent. Als unbeteiligter Betrachter von außen lässt sich nur schwer beurteilen, ob man aufgrund des tatsächlichen Vorbringens nicht auch zu einem anderen Ergebnis hätte kommen können.

Rechtswahl
In einem weiteren Teil stützt sich das KG nun alternativ darauf, dass zudem eine wirksame Rechtswahl in Bezug auf deutsches Datenschutzrecht vorliege.

Insoweit überzeugt mich das Urteil jedoch nicht. Ich hatte bereits hier im Blog einmal zu der Möglichkeit einer Rechtswahl im Datenschutzrecht Stellung genommen.

Dass eine Rechtswahl möglich sei, begründet das KG damit, dass das BDSG unter anderem auch Privatrecht enthalte, wenn Ansprüche der Betroffenen (etwa auf Löschung oder Schadenersatz) auf Vorschriften wie §§ 4, 28 BDSG verweisen. Es ist in der Tat nicht unumstritten, inwieweit das BDSG nun (rein) öffentlich-rechtlich oder privatrechtlich oder gemischt zu qualifizieren ist.

Unabhängig davon sehe ich jedoch die, wie auch vom KG hervorgehoben, entscheidende Vorschrift des Art. 4 DS-RL nicht als eine solche des Privatrechts an, die zur Disposition der Parteien steht. Diese kann daher auch nicht durch eine Rechtswahl der Parteien „umgangen“ werden. Der Gesetzgeber wollte vielmehr eindeutig regeln, wann welches Datenschutzrecht gilt. Es lässt sich hier sicherlich darüber streiten, ob Art. 4 DS-RL bzw. die deutsche Umsetzung in § 1 Abs. 5 BDSG, nun eine international-privatrechtliche Eingriffsnorm darstellt oder etwa eine Sonderanknüpfung. Was jedoch beiden Qualifizierungen gemeinsam ist, ist der Ausschluss der Möglichkeit einer freien Rechtswahl.

Das KG bezieht sich in seiner Begründung vor allem auf die AGB von Facebook. Dort sei festgeschrieben, dass die Erklärung deutschem Recht unterliege. Meines Erachtens muss man hier jedoch strikt differenzieren. Es ist zwar möglich, das Vertragsrecht in internationalen Konstellationen grundsätzlich frei zu wählen (es sei denn es greifen Ausnahmen ein, wie etwa der Schutz für Verbraucher). Diese freie Rechtswahl bezieht sich meiner Meinung nach jedoch nicht auf das Datenschutzrecht. Denn allein Art. 4 DS-RL bzw. die jeweilige nationale Umsetzung soll vorgeben, welches Recht Anwendung findet. Dies kann in der Praxis freilich zu der Situation führen, dass in Bezug auf eine AGB-Prüfung deutsches Recht Anwendung findet (insoweit greift die Schutzausnahme für Verbraucher). Innerhalb dieser AGB-Prüfung kann jedoch das zugrunde zu legende Recht, von dem mittels der AGB eventuell abgewichen wird, durchaus ein ausländisches Datenschutzrecht sein. Herr Dr. Redeker hat dies in einem Blogbeitrag auf CR-Online ebenso dargestellt.

Auch die Art. 29 Datenschutzgruppe hat in ihrer Stellungnahme zu Apps (WP 202, S. 9) zu einer möglichen Rechtswahl im Datenschutzrecht klare Worte gefunden:

Es ist wichtig, dass App-Entwickler wissen, dass die beiden Richtlinien insofern zwingende Vorschriften darstellen, als die Rechte natürlicher Personen nicht übertragbar sind und keinem vertraglichen Verzicht unterliegen. Das bedeutet, dass die Anwendbarkeit des europäischen Rechts zum Schutz der Privatsphäre nicht durch eine einseitige Erklärung oder eine vertragliche Vereinbarung ausgeschlossen werden kann.

Das KG geht in seiner Begründung leider auch nicht auf die Vorgaben der für internationale Sachverhalte und die Bestimmung des anzuwenden Rechts entscheidenden Verordnungen (Rom I und Rom II) ein. Es begründet die Entscheidung mit seiner Ansicht der freien Wahl hinsichtlich des „privatrechtlichen Teils“ des deutschen Datenschutzrechts. Dass hier deutsches und nicht etwa irisches Datenschutzrecht zur Anwendung gelangt, mache

vorliegend auch Sinn. Denn in Ziff. 1 der Nutzungsbedingungen stellt die Beklagte ausdru?cklich klar, wie wichtig ihr die Privatsphäre des Nutzers und der Schutz seiner Daten sind. Mit der Vereinbarung auch des deutschen Datenschutzrechts nimmt sie den Nutzern in Deutschland einen Teil der Sorgen, indem sie die in Deutschland insoweit geltenden und diesen Nutzern vertrauten Maßstäbe auch fu?r sich zu Grunde legt.

So sehr ich den Gedanken verstehe, dass es für deutsche Nutzer besser erscheinen mag, wenn deutsches Datenschutzrecht anwendbar ist, so wenig überzeugt mich jedoch das voran gestellte Zitat als eine rechtliche Begründung einer wirksamen Rechtswahl im Datenschutzrecht.

Ausblick
Und nun? Man wird abwarten müssen, ob Facebook auch gegen das Urteil des KG vorgeht. Da wir jedoch nun zwei konträre Entscheidungen zum anwendbaren Datenschutzrecht auf Facebook und auch zu den grundsätzlichen rechtlichen Möglichkeiten einer Rechtswahl im Datenschutzrecht haben, wäre im Sinne der Rechtssicherheit eine höchstrichterliche Klärung sicherlich wünschenswert.