Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für den Datenschutz bei Smart-TVs

Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) haben eine Orientierungshilfe zu den Datenschutzanforderung an Smart-TV-Dienste veröffentlicht (pdf, Stand: September 2015). Diese Orientierungshilfe richtet sich, so das Papier, an Anbieter von Smart-TV-Diensten und -Produkten. Hierzu gehören unter anderem Gerätehersteller App-Anbieter und Anbieter von HbbTV-Angeboten.

Nachfolgend möchte ich einen kurzen Überblick über einige in dem Papier behandelte Themen geben.

Was sind personenbezogene Daten?

Die Aufsichtsbehörden nennen in dem Papier Beispiele für ihrer Auffassung nach personenbezogene Daten im Umfeld von Smart-TVs. Hierzu gehören die IP-Adresse des Nutzers und Geräte-IDs, die dauerhaft mit dem Gerät verbunden sind. Nach Ansicht der Behörden ist hierbei unerheblich, dass eventuell mehrere Personen ein Fernsehgerät nutzen. Im Zweifel gehen die Behörden daher von einem Personenbezug aus. Weitere Beispiele sind Audiodaten, Foto -und Filmaufnahmen, das Fernsehanstalten oder Registrierungsdaten.

Wer ist datenschutzrechtlich verantwortlich?

Regelmäßig datenschutzrechtlich verantwortlich sind vor allem die Gerätehersteller, die etwa Updates auf Geräte aufspielen oder Statistiken über die Bedienung des Gerätes erstellen. Ebenfalls datenschutzrechtlich verantwortlich können App-Anbieter sein. Auch die Anbieter von HbbTV-Zusatzangeboten können oft als datenschutzrechtlich verantwortliche Stelle und Diensteanbieter im Sinne des Telemedienrechts qualifiziert werden.

Welches Recht gilt?

Grundsätzlich gilt das deutsche Datenschutzrecht, beim Umgang mit personenbezogenen Daten durch stellen mit Sitz in Deutschland. Nach Auffassung der Behörden gilt das deutsche Datenschutzrecht auch, wenn ein Anbieter, der außerhalb des europäischen Wirtschaftsraums niedergelassen ist, personenbezogene Daten im Inland erhebt. Interessant ist die Ansicht der Aufsichtsbehörden, dass das deutsche Datenschutzrecht nicht gilt, wenn ein Anbieter in einem anderen Mitgliedstaat des europäischen Wirtschaftsraums niedergelassen ist und in Deutschland personenbezogene Daten erhebt und dies nicht durch eine Niederlassung in Deutschland erfolgt. Dann gilt das Recht des jeweiligen Mitgliedstaates. Nach Auffassung des Düsseldorfer Kreises scheint also allein die Existenz einer Niederlassung in Deutschland (richtigerweise) noch nicht zur Anwendbarkeit deutschen Datenschutzrechts zu führen.

Rechtsgrundlagen der Datenverarbeitung

Danach geht die Orientierungshilfe auf die verschiedenen Erlaubnistatbestände des TMG zum Umgang mit personenbezogenen Daten ein. Das TMG stellt gerade im Bereich der Datenverarbeitung über Smart-TVs das gegenüber dem Bundesdatenschutzgesetz speziellere Gesetz dar.

Die Aufsichtsbehörden geben verschiedene Beispiele für die im TMG angesprochenen Bestands- und Nutzungsdaten. Nach Auffassung der Behörden stellen Bestandsdaten im Sinne des § 14 Abs. 1 TMG etwa Registrierungsdaten in einem online Portal dar. Nutzungsdaten im Sinne des§ 15 Abs. 1 TMG sind unter anderem die IP-Adresse und eindeutige Kennnummern.

Auch befasst sich die Orientierungshilfe mit dem Thema der pseudonymisierten Nutzungsprofile (§ 15 Abs. 3 TMG). Der erforderliche Hinweis auf die Erstellung solcher Nutzungsprofile muss nach Auffassung der Behörden zumindest in der Datenschutzerklärung erfolgen. Die Widerspruchsmöglichkeit (Opt-Out) kann in Form eines Links oder der Möglichkeit des Auskreuzens bereitgestellt werden. Nach Ansicht des Düsseldorfer Kreises genügt jedoch die Möglichkeit, per E-Mail oder per Post ein Opt-Out zu erklären, den gesetzlichen Anforderungen nicht.

Die Orientierungshilfe setzt sich im weiteren mit den Themen „Reichweitenmessung“ und „werbefinanzierte Dienste“ auseinander.

Datenschutzerklärung

Die Aufsichtsbehörden geben auch Hinweise dazu, wie die Nutzer von Smart-TVs wirksam über stattfindende Datenverarbeitungen zu informieren sind. Informationspflichten der Anbieter ergeben sich aus § 13 Abs. 1 TMG. Nach Auffassung der Behörden besteht für verantwortliche Stellen die Verpflichtung, die Datenschutzhinweise derart zu verankern, dass der Nutzer zwangsläufig und so frühzeitig wie möglich mit diesen in Berührung gelangt. Fraglich ist, wie der Begriff „zwangsläufig“ zu verstehen ist. Gehen die Behörden davon aus, dass Datenschutzerklärung per Popup eingeblendet werden müssen? In jedem Fall genügt eine Information, die im Impressum oder den Allgemeinen Geschäftsbedingungen erfolgt, nicht den Anforderungen an die Transparenz. Wichtig ist auch der Hinweis der Behörden, dass nicht sonstige Textbausteine, die häufig für herkömmliche Webseiten erstellt werden, genutzt werden dürfen. Nicht ausreichend sind ebenso die Wiedergabe gesetzlicher Normen oder allgemeine Floskeln zur Wichtigkeit des Datenschutzrechts.

Anforderungen an die IT-Sicherheit

Nach Auffassung der Behörden müssen die verantwortlichen Stellen regelmäßig Sicherheitsupdates für die eingesetzten Geräte anbieten. Zudem sollen personenbezogene Daten nach dem Stand der Technik verschlüsselt werden als Orientierung verweist der Düsseldorfer Kreis auf Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem formuliert das Papier Mindestanforderungen. Hierzu gehören: HTTPS, Perfect Forward Secrecy, kein SSL2/SSL3, mindestens 2048-Bit beim X.509 Zertifikat, keine RC4-Verschlüsselung, kein SHA1-Hashverfahren.

Hinweise für jeden Beteiligten

Im letzten Abschnitt des Papiers gehen die Behörden auf die konkreten Situationen und Probleme ein, die sich für den jeweiligen Verantwortlichen bei der Datenverarbeitung stellen. Sowohl für Gerätehersteller, App- oder HbbTV-Anbieter werden konkrete Szenarien des Umgangs mit personenbezogenen Daten betrachtet und analysiert.

Post Safe Harbor: The position of the German Data Protection Authorities

The German Data Protection Authorities (in total 17 for the private sector) have today published their position (German) on the consequences for transfers of personal data to the USA after the Court of Justice of the European Union (CJEU) recently struck down the Safe Harbor decision of the European Commission (Case C-362/14).

Not an easy task

According to recent media reports (https://www.tagesschau.de/inland/safe-harbor-105.html, in German), the process of finding a common approach was not an easy task. Not all Data Protection Commissioners seem to share the same view on the legal conclusions and consequences for businesses that have to be drawn from the court’s judgment. So the position now published seems to reflect only the lowest common denominator. On 14th October for example, the Data Protection Authority of Schleswig-Holstein (known for its strict interpretation of the law) published its own assessment of the judgment (available in English) and concluded that “a data transfer on the basis of Standard Contractual Clauses to the US is no longer permitted”.

The official position

I will hereinafter summarize the position of the German authorities:

Just like already stated by the Article 29 Working Party in its statement (PDF), the German authorities highlight that data transfers to the USA are unlawful if they are solely based on the Safe Harbor decision.

The German authorities further clarify that they will prohibit any data transfer based on Safe Harbor they gain knowledge of. The watchdogs will base the exercise of their powers under Article 4 of the respective decisions by the European Commission for standard contractual clauses (2004/915/EC and 2010/87/EC) on the principles formulated by the CJEU in margin numbers 94 and 95 of its judgment. This refers especially to the finding of the CJEU that legislation in the European Union, permitting public authorities to have access on a generalized basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life, as guaranteed by Article 7 of the Charter of Fundamental Rights.

At the moment, the German authorities will not grant new approvals for data transfers on the basis of Binding Corporate Rules (BCR) or contracts to export personal data to the USA.

Consent may be an acceptable basis for data transfers, according to the authorities. But only wihtin narrow limits. In general, the respective data transfer may not take place repeatedly or as a matter of routine.

The German authorities ask the national legislator to provide the authorities with their own legal remedies enabling them to put forward their objection against an adequacy decision by the European Commission before the national courts (see margin number 65 of the judgment).

Furthermore the authorities request the European Commission to amend the current standard contractual clauses in light of the CJEU’s decision in a timely manner. The deadline set by the Article 29 Working Party (31st January 2016) is welcomed by the German watchdogs.

Interestingly, the German authorities also call on the German government to directly contact the US government and to press for adherence to an adequate level of protection of the fundamental rights of privacy and data protection.

Prospect

As already mentioned this position only forms the lowest common denominator and is not binding. Views in the different federal states may therefore differ. To recall one of the central points of the CJEU’s decision, Data Protection Authorities are responsible for monitoring, with complete independence, compliance with EU rules on the protection of individuals with regard to the processing of such data. It can therefore not be ruled out that we might see differing implementations of the judgment within Germany. The authorities also highlight the fact of independence in their position.

EuGH fällt wichtige Entscheidung für Webseitenbetreiber: wann gilt welches Datenschutzrecht? Zudem dürfen Behörden nicht alles.

Heute hat der Europäische Gerichtshof (EuGH) ein wichtiges Urteil für das europäische Datenschutzrecht gefällt. Im Verfahren „Weltimmo“ (C-230/14) geht es im Grunde um zwei Themenkomplexe (in einem früheren Blogbeitrag habe ich ausführlich zu dem Sachverhalt und der Vorlagefrage berichtet):

Zum einen geht es um die Frage des anwendbaren Datenschutzrechts, wenn ein Unternehmen (hier: Weltimmo), welches allein in einem Mitgliedstaat der EU ansässig ist (hier: Slowakei), seine Dienste über das Internet auch in anderen Mitgliedstaaten (hier: Ungarn) anbietet. Gilt dann nur das Datenschutzrecht des Mitgliedstaates, in dem das Unternehmen, als verantwortliche Stelle, seinen Sitz hat?

Zum anderen geht es um die Frage, wie weit die Kompetenzen von nationalen Datenschutzaufsichtsbehörden (hier: die ungarische Behörde) reichen, wenn das Datenschutzrecht ihres Mitgliedstaates nicht anwendbar ist, sie jedoch die Datenverarbeitung durch ein Unternehmen prüfen möchten, welches zwar in einem anderen Mitgliedstaat niedergelassen ist, seine Dienste (etwa über eine Website) jedoch auch im Mitgliedstaat der Aufsichtsbehörde anbietet.

Die untersuchten Konstellationen betreffen insoweit „EU-Sachverhalte“. Datenverarbeitungen finden allein innerhalb der EU statt und auch die für die Datenverarbeitung Verantwortlichen sind allein in der EU niedergelassen. Dies ist ein wichtiger Unterschied zum „Google-Urteil“ des EuGH aus dem Mail 2014. Denn dort hatte die verantwortliche Stelle (Google Inc.) ihren Sitz in den USA.

Schlussanträge des Generalanwalts

Der zuständige Generalanwalt Pedro Cruz Villalón, hatte seine Schlussanträge im Juni 2015 vorgelegt (hierzu mein ausführlicher Blogbeitrag).

Kurz zusammengefasst ging er davon aus, dass es der ungarischen Datenschutzbehörde verwehrt ist, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Zudem ging der Generalanwalt davon aus, dass zwar dem Grunde nach jede Datenschutzbehörde gewisse Grundbefugnisse besitzt, u.a. auch eine Untersuchung einer Datenverarbeitung einzuleiten, die einem anderen nationalen Datenschutzrecht unterliegt. Aufgrund der territorialen Souveränität jedes Staates enden die öffentlich-rechtlichen Befugnisse von Aufsichtsbehörden jedoch an den Landesgrenzen. Eine Aufsichtsbehörde, deren Datenschutzrecht nicht anwendbar ist, kann daher nicht rechtsverbindlich feststellen, dass eine Datenverarbeitung rechtswidrig ist und sie kann auch keine Sanktionsmaßnahmen vornehmen, wie etwa ein Bußgeld festsetzen. Dies ist allein derjenigen Aufsichtsbehörde vorbehalten, deren nationales Datenschutzrecht anwendbar ist.

Die Entscheidung des EuGH

Kurz gesagt, bestätigt der EuGH die Ausführungen des Generalanwalts in dessen Schlussanträgen. Gerade mit Blick auf den ersten Themenkomplex (anwendbares Datenschutzrecht), geht das Gericht aber noch etwas über die Vorschläge des Generalanwalts hinaus.

Zum anwendbaren Recht

Bereits zu Beginn weist der EuGH auf zusätzlich tatsächliche Informationen hin, die für das Urteil im konkreten Verfahren von Bedeutung sind. Nach Informationen der ungarischen Datenschutzbehörde soll Weltimmo am Ort ihres Gesellschaftssitzes, der Slowakei, keine Tätigkeit ausüben. Außerdem habe Weltimmo diesen Sitz mehrmals von einem Staat in einen anderen verlegt. Zudem habe Weltimmo in Ungarn ein Bankkonto zur Einziehung ihrer Forderungen eröffnet und in diesem Mitgliedstaat ein Postfach für ihre laufenden Geschäfte besessen. Die Post sei regelmäßig abgeholt worden. Weltimmo selbst sei einfach nur in der Slowakei als Gesellschaft eingetragen.

Wie auch schon in seinem Google-Urteil, so legt der EuGH auch hier zunächst den Begriff der „Niederlassung“ aus Art. 4 Abs. 1 Buchst. a der Datenschutz-Richtlinie (RL 95/46/EG) aus. Die Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ kann, so der EuGH, im Hinblick auf das Ziel der Richtlinie 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden.

Dem Generalanwalt folgend ergibt sich für den EuGH aus Erwägungsgrund 19 der Datenschutz-Richtlinie, eine flexible Konzeption des Begriffs der Niederlassung, die Abstand nimmt von einer formalistischen Sichtweise, nach der ein Unternehmen ausschließlich an dem Ort niedergelassen sein kann, an dem es eingetragen ist (Rz. 29). Diese Feststellung ist hier besonders wichtig, da Weltimmo in der Slowakei tatsächlich anscheinend allein im Handelsregister eingetragen war. Zudem ist sie von besonderer Bedeutung für Unternehmen, die ihr Geschäft vor allem über das Internet betreiben und Dienste online, in mehreren Mitgliedstaaten anbieten.

Der EuGH führt weiter aus, dass sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten in einem anderen Mitgliedstaat unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen ist. Dies gelte insbesondere für Unternehmen, die Leistungen ausschließlich über das Internet anbieten. Es sei auch davon auszugehen, dass das Vorhandensein eines einzigen Vertreters unter bestimmten Umständen ausreichen kann, um eine feste Einrichtung (die Voraussetzung einer „Niederlassung“ ist) zu begründen, wenn dieser mit einem ausreichenden Grad an Beständigkeit mit den für die Erbringung der betreffenden konkreten Dienstleistungen erforderlichen Mitteln im fraglichen Mitgliedstaat tätig ist. Vorliegend stellt der EuGH fest, dass Weltimmo mit dem Betreiben einer oder mehrerer Websites zur Vermittlung von in Ungarn belegenen Immobilien, die in ungarischer Sprache verfasst sind und deren Inserate nach einem Monat kostenpflichtig werden, eine tatsächliche und effektive Tätigkeit in Ungarn ausübt. Eine Niederlassung in Ungarn würde damit vorliegen. Jedoch weist der EuGH auch darauf hin, dass das tatsächliche Vorliegen eines Vertreters, eines Postfachs und eines Bankkontos in Ungarn (also der Voraussetzungen einer Niederlassung), noch durch das vorlegende Gericht geprüft werden müssen.

Danach widmet sich der EuGH dem Begriff der Verarbeitung personenbezogener Daten, die „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt werden (Rz. 34). Erfreulicherweise nimmt der EuGH hier die konkret in Rede stehenden Datenverarbeitungen in den Blick.

„Im vorliegenden Fall besteht die im Ausgangsverfahren in Rede stehende Verarbeitung insbesondere in der Veröffentlichung von personenbezogenen Daten der Eigentümer dieser Immobilien auf den Websites zur Vermittlung von Immobilien von Weltimmo sowie gegebenenfalls in der Nutzung dieser Daten für Zwecke der Abrechnung der Inserate nach Ablauf eines Monats.“

Für den bestehen keine Zweifel, dass diese Verarbeitung im Rahmen der Tätigkeiten stattgefunden hat, die Weltimmo in Ungarn ausübt (Rz. 38).

Interessant ist zudem, dass der EuGH dem nationalen Gericht noch eine Handreichung dazu gibt, wie das Gericht bestimmen können soll, ob Weltimmo in Ungarn eine effektive und tatsächliche Tätigkeit ausübt. Dazu gehört:

  • dass die Tätigkeit des für diese Verarbeitung Verantwortlichen, in deren Rahmen diese stattfindet, im Betreiben von Websites besteht, die der Vermittlung von Immobilien dienen, die sich im Hoheitsgebiet dieses Mitgliedstaats befinden,
  • dass die Websites in dessen Sprache verfasst sind,
  • und dass sie daher hauptsächlich oder sogar vollständig auf diesen Mitgliedstaat ausgerichtet ist,
  • und zum anderen, dass dieser Verantwortliche über einen Vertreter in diesem Mitgliedstaat verfügt, der dafür zuständig ist, die Forderungen aus dieser Tätigkeit einzuziehen sowie den Verantwortlichen im Verwaltungsverfahren und im gerichtlichen Verfahren über die Verarbeitung der betreffenden Daten zu vertreten.

Sollten das ungarische Gericht anhand dieser Kriterien zu dem Schluss gelangen, dass eine Niederlassung in Ungarn besteht, dann gelte auch ungarisches Datenschutzrecht.

Kompetenzen von Datenschutzbehörden

Hier geht es um die Frage, wie weit die Befugnisse der ungarischen Behörde reichen, wenn eine Niederlassung von Weltimmo in Ungarn nicht existieren sollte und damit nicht ungarisches Recht anzuwenden wäre.

Der EuGH geht dabei zunächst auf Art. 28 Abs. 3 Datenschutz-Richtlinie ein und stellt fest, dass die Datenschutzbehörden danach insbesondere über Untersuchungsbefugnisse, wie das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, und über wirksame Einwirkungsbefugnisse, wie die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten, verfügen (Rz. 48).

Diese Auflistung ist jedoch nicht abschließend. Nach dem EuGH ist davon auszugehen, dass diese Einwirkungsbefugnisse die Befugnis umfassen können, den für die Datenverarbeitung Verantwortlichen zu bestrafen, indem gegen ihn gegebenenfalls ein Bußgeld verhängt wird (Rz. 49).

Zudem sind die den Behörden eingeräumten Befugnisse allein gemäß dem Verfahrensrecht ihres Mitgliedstaats auszuüben (Rz. 50).

Weiterhin geht der EuGH auf Art. 28 Abs. 6 Datenschutz-Richtlinie ein und stellt fest, dass aus diesem hervorgehe, dass die Kontrollstelle eines Mitgliedstaats, an die sich natürliche Personen mit einer Beschwerde über die Verarbeitung der sie betreffenden personenbezogenen Daten wenden, diese Beschwerde unabhängig vom anwendbaren Recht und daher selbst dann prüfen kann, wenn das auf die Verarbeitung der betreffenden Daten anwendbare Recht das eines anderen Mitgliedstaats ist.

Der EuGH folgt danach den Ausführungen des Generalanwalts und stellt fest, dass die Sanktionsgewalt der Behörden grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56).

Daraus ergibt sich für den EuGH die Schlussfolgerung, dass, wenn bei einer Kontrollstelle eine Beschwerde eingereicht wird, diese Stelle ihre Untersuchungsbefugnisse unabhängig vom anwendbaren Recht und noch bevor sie weiß, welches nationale Recht auf die fragliche Verarbeitung anzuwenden ist, ausüben kann.

Doch, so der EuGH weiter, wenn die Behörde feststellt, dass das Recht eines anderen Mitgliedstaats anwendbar ist, darf sie keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaats verhängen. In einer solchen Situation obliegt es ihr in Wahrnehmung der Verpflichtung zur Zusammenarbeit, die Kontrollstelle dieses anderen Mitgliedstaats zu ersuchen, einen möglichen Verstoß gegen dieses Recht festzustellen und Sanktionen zu verhängen (Rz. 57).

Für das konkrete Verfahren bedeutet dies, dass die ungarische Kontrollstelle für den Fall, dass das anwendbare Recht das eines anderen Mitgliedstaats als Ungarn ist, die ihr durch das ungarische Recht übertragenen Sanktionsbefugnisse nicht ausüben darf.

Fazit

Der EuGH bleibt seiner Rechtsprechung zum Recht auf den Schutz personenbezogener Daten treu. Den Begriff der „Niederlassung“, der für die Anwendbarkeit des Datenschutzrechts bedeutsam ist, legt er, wie auch im Urteil zu Google, sehr weit aus. Vorliegend lässt er die Existenz eines Vertreters, eines Handelsregistereintrages und eines Bankkontos ausreichen, um ungarisches Datenschutzrecht zur Anwendung zu bringen. Insbesondere die Ausführungen zur flexiblen Anwendung des Begriffs und auch der „Checkliste“ für das nationale Gericht, sind besonders interessant.

Was bedeutet dies nun? Unternehmen, die (wenn auch nur über Webseiten) ihre Dienste in mehreren Mitgliedstaaten anbieten und dazu einen (Handels-)Vertreter in einem Mitgliedstaat und dazu eventuell noch einen Handelsregistereintrag besitzen, werden sich mit mehreren, im äußersten Fall 28 verschiedenen, nationalen Datenschutzgesetzen auseinandersetzen müssen. Damit einhergehend auch mit 28 verschiedenen Datenschutzbehörden und deren Auslegung des Datenschutzrechts. Möchte ein Unternehmen nicht in diese Situation geraten, so müsste es jegliche physische Verbindungen in Form von Büros, Mitarbeitern oder Handelsregistereintragungen, zu Mitgliedstaaten kappen und seine Dienste über das Internet allein von einem Ort aus anbieten. Dann gilt auch nur das Datenschutzrecht des Mitgliedstaates am Ort der einzigen Niederlassung.

Für mich wird leider oft zu wenig Wert auf eine genau Trennung und Prüfung der einzelnen Datenverarbeitungen gelegt, wenn über die Frage des anwendbaren Datenschutzrechts gesprochen wird. Eine generelle Aussage, dass etwa für Weltimmo stets nun (auch) ungarisches Datenschutzrecht gilt, wäre meines Erachtens falsch. Denn Datenverarbeitungsprozesse werden zu ganz verschiedenen Zwecken vorgenommen. Der eine etwa, um Mitarbeiterdaten für Abrechnungszwecke zu verarbeiten, der andere, um Forderungen von Kunden einzuziehen und wiederum ein anderer Prozess, um Angebote auf einer Website ein- und darzustellen. Wie genau der hier vom EuGH als mögliche Niederlassung qualifizierte Vertreter in Ungarn jedoch mit diesen Datenverarbeitungen verbunden ist, muss das nationale Gericht noch klären.

Wenn man gerade im Bereich der Feststellung des anwendbaren Datenschutzrechts mit eine groben Kelle arbeiten würde und pauschal ein Datenschutzrecht für ein Unternehmen für anwendbar erklärt, fänden wir uns am Ende in der oben geschilderten Situation wieder, dass nämlich Unternehmen (und es geht hier nicht nur um amerikanische, chinesische oder japanische Unternehmen, die auf dem europäischen Markt unterwegs sind) einfach dem Grunde nach mehrere Datenschutzgesetze parallel beachten müssen. Genau das wollte aber die geltende Datenschutz-Richtlinie nicht. Aus gutem Grund. Denn dann hätte es einer europäischen Vereinheitlichung überhaupt nicht bedurft.

CDU möchte das Datenschutzrecht reformieren

Die CDU möchte sich, neben der Verabschiedung der geplanten Datenschutz-Grundverordnung auf europäischer Ebene, einer Reform des nationalen Datenschutzrechts widmen. Dies geht aus dem Abschlussbericht der Kommission „Arbeit der Zukunft – Zukunft der Arbeit“ (PDF) hervor. Die Kommission wurde, neben anderen Kommissionen, nach der Klausurtagung des Bundesvorstandes 2014 eingesetzt, um die Parteiarbeit inhaltlich und programmatisch weiterzuentwickeln.

Ziel der CDU soll nach dem Abschlussbericht sein, Rahmenbedingungen dafür zu schaffen, damit das Potenzial der Speicherung und Auswertung von Daten genutzt werden kann. Dabei werde man auf die Einhaltung hoher Datenschutzstandards und offener Märkte achten.

Wem gehören Daten? Was ist ihr Preis?
Angestoßen werden soll zudem eine gesellschaftliche Debatte, darüber, wie mit Daten in Zukunft umgegangen werden soll (bzw. darf). Zu diskutierende Fragen sind aus Sicht der Kommission unter anderem:

  • Wem gehören welche Daten?
  • In welchen Bereichen sind Daten ein Wirtschaftsgut?
  • Wo müssen die Bürger in die Lage versetzt werden, von Unternehmen eine angemessene Gegenleistung für ihre Daten einzufordern?
  • In welchen Bereichen sind Daten als Ausdruck der persönlichen Freiheit absolut schützenswert?
  • Wo muss der Staat als Gesetzgeber eingreifen und mit welcher Intensität?

Die Diskussion um das „Eigentum“ an Daten ist nicht unbedingt neu, wird jedoch gerade im Zusammenhang mit dem Internet der Dinge wieder öffentlicher geführt. Interessant ist die Frage des Abschlussberichts nach einer „angemessenen Gegenleistung“ für Daten. Soll diese etwa gesetzlich festgelegt werden? Etwa: Gesundheitsdaten 5 € je Information? Oder soll ein Rahmen vorgegeben werden, in dem sich der Markt selbst regulieren und die Preise für Daten festlegen kann?

Zudem diskutieren lässt sich über die vorgeschlagene Frage, nach dem „absoluten“ Schutz von bestimmten Datenarten. Soll es tatsächlich Informationen geben, die niemals genutzt werden dürfen? Deren Schutz sich also stets (absolut) gegenüber anderen Interessen und auch Grundrechten durchsetzt?

Reform des behördlichen Aufsichtssystems in Deutschland
Ebenfalls angegangen werden soll nach dem Vorschlag der Kommission die derzeitige Ausgestaltung der Kompetenzen der Datenschutzbehörden in Deutschland. Der Abschlussbericht hierzu:

Das geltende Datenschutzrecht wird in den einzelnen Bundesländern häufig unterschiedlich ausgelegt. Das ist gerade für digitale Produkte und Dienstleistungen nicht praktikabel, da diese in Deutschland nur einheitlich erbracht werden können. Wir wollen das geplante „One-Stop-Shop“-Prinzip der EU-Datenschutz-Grundverordnung auch in Deutschland einheitlich und verbindlich regeln.

Gedanke des angesprochenen One-stop-shop-Systems ist, dass für eine verantwortliche Stelle in Europa auch nur eine Datenschutzbehörde hauptverantwortlich ist. Datenschutzbehörden in anderen EU-Ländern können zwar Meinungen abgeben oder auch ein Veto gegen Entscheidungen der Hauptdatenschutzbehörde einlegen. Die letztendliche Vollzugsbefugnis (gerade was etwa Strafen oder die Feststellung von Datenschutzverstößen angeht) soll aber bei einer Aufsichtsbehörde liegen.

Dieses System soll nach dem Vorschlag der Kommission nun auch innerhalb Deutschlands etabliert werden. Der Abschlussbericht spricht diesbezüglich gerade digitale Dienste an. Derzeit ist in Deutschland dem Grundsatz nach diejenige Datenschutzbehörde zuständig, in deren Bundesland die verantwortliche Stelle ihren Sitz hat.

Könnte die CDU etwa planen, diese Kompetenzverteilung für bestimmte Geschäftsfelder neu zu regeln. Zum Beispiel: digitale Dienste in Deutschland werden ausschließlich durch den Hamburger Datenschutzbeauftragten beaufsichtigt? Oder soll es vielleicht auch eine neue Aufsichtsbehörde speziell für Anbieter von Telemediendiensten in Deutschland geben

Gerade was die Frage des anwendbaren Datenschutzrechts und die innerhalb Europas zuständige Aufsichtsbehörde für Anbieter betrifft, die in mehreren Mitgliedstaaten Dienste über das Internet erbringen, hat erst kürzlich der Generalanwalt am Europäischen Gerichtshof, Cruz Villalón, seine lesenswerten Schlussanträge vorgelegt. Hierzu mein Beitrag.

Die Pläne der CDU scheinen durchaus ambitioniert, wenn man sich zudem vor Augen führt, dass bald das gesamte deutsche Datenschutzrecht im Zuge der neuen Datenschutz-Grundverordnung überarbeitet werden muss. Grundsätzlich werden die Antworten zum Umgang mit personenbezogenen Daten dann nicht mehr im nationalen Recht, sondern in der Verordnung zu finden (bzw. zu suchen) sein. Wem Daten „gehören“ oder was sie für einen Gegenwert besitzen, wird dort jedoch nicht geregelt.

Cookie-Richtlinie in Deutschland doch nicht umgesetzt?

Es ist eine Neverending Story. Die Frage der (Nicht-)Umsetzung der sog. Cookie-Richtlinie (RL 2002/58/ EG, in der Fassung der RL 2009/136/EG) in Deutschland.

Im Februar 2015 kritisierten die deutschen Datenschutzbehörden die Bundesregierung wegen einer, ihrer Ansicht nach, mangelnden Umsetzung der europäischen Vorgaben im deutschen Recht (hierzu mein Blogbeitrag). Das Erfordernis der vorherigen Einwilligung nach Art. 5 Abs. 3 Cookie-Richtlinie sei nach Ansicht der Behörden im deutschen Datenschutzrecht (namentlich im TMG) nicht richtlinienkonform implementiert.

Ganz anders sah dies sowohl die Europäische Kommission und auch das Bundeswirtschaftsministerium. Im Februar 2014 erhielten die Kollegen bei Telemedicus die Information, dass die Cookie-Richtlinie sehrwohl umgesetzt sei. Über die Ungereimtheiten berichtete der Kollege Adrian Schneider.

Nun ist eine aus dem Januar 2015 stammende Studie für die Europäische Kommission zur Umsetzung der Cookie-Richtlinie in den Mitgliedstaaten veröffentlicht worden (PDF). Die Aussage dort:

When looking at the way Article 5.3 has been transposed by the Member States, a first observation to make is that this provision has not been transposed by the German legislature.

Also doch keine Umsetzung in Deutschland? Dieses Hin und Her um die Cookie-Richtlinie grenzt schon langsam an ein komödiantisches Schauspiel, wenn es dabei nicht um für die Internetwirtschaft durchaus wichtige Fragen gehen würde.

Verhältnis zur geplanten Datenschutz-Grundverordnung
Die erwähnte Studie befasst sich daneben auch mit der Frage, in welchem Verhältnis die Vorgaben der Cookie-Richtlinie zu der geplanten Datenschutz-Grundverordnung (DS-GV) stehen werden. Im Mai 2015 hatte ich bereits berichtet, dass die Europäische Kommission davon auszugehen scheint, dass die Cookie-Richtlinie (in ihrem Anwendungsbereich) der DS-GVO als Spezialgesetz (lex specialis) vorgeht.

Diese Auffassung scheint auch die veröffentlichte Studie zu stützen (ab S. 112). Jedoch wird dort darauf hingewiesen, dass eine EU-Richtlinie die zukünftige DS-GVO als EU-Verordnung nicht detaillieren oder ergänzen kann. Denn die Verordnung steht als Rechtsakt sozusagen über der Richtlinie. Aus diesem Grund soll auch durch die DS-GVO, in Art. 89 vorgeschrieben werden, dass Art. 1 Abs. 2 der Cookie-Richtlinie gestrichen wird. Dieser besagt:

Die Bestimmungen dieser Richtlinie stellen eine Detaillierung und Ergänzung der Richtlinie 95/46/EG…dar.

Eine solche Detaillierung der DS-GVO durch die Cookie-Richtlinie ist jedoch nicht möglich. Mitgliedstaaten könnten nicht durch Vorgaben einer Richtlinie dazu verpflichtet werden, von den Regelungen einer Verordnung abzuweichen. Aufgrund dessen auch die Streichung in der Cookie-Richtlinie.

Für die Zukunft schlägt die Studie vor, dass die Cookie-Richtlinie in eine Verordnung umgewandelt wird. Dies könnte das Zusammenspiel der beiden Instrumente vereinfachen, da sie dann auf einer gesetzlichen Ebene stehen.

Bundesregierung: Warum die geplante VDS nicht anlasslos ist und der Tweet von Heiko Maas in Ordnung geht

Die Diskussion um die Einführung einer Vorratsdatenspeicherung in Deutschland geht weiter. Am 15. April 2015 stellte Bundesminister Heiko Maas Leitlinien zur Einführung einer Speicherpflicht und Höchstspeicherfristen für Verkehrsdaten vor. Diese geben eine erste Auskunft dazu, wie die Bundesregierung die Vorgaben des Bundesverfassungsgerichts und auch der Europäischen Gerichtshofs (C-293/12) in einem nationalen Gesetz umsetzen möchte.

Insbesondere wurden die Leitlinien deshalb kritisiert, weil auch zukünftig eine „anlasslose“ Speicherung von Verkehrsdaten vorgesehen ist. Prof. Härting konstatiert: die Speicherverpflichtung soll – wie gehabt – flächendeckend und anlasslos gelten.

Wie reagiert die Bundesregierung auf die Kritik? Bisher noch zurückhaltend.

Im Bundestag hat jedoch kürzlich Christian Lange, Parl. Staatssekretär beim Bundesminister der Justiz und für Verbraucherschutz, im Rahmen einer Fragestunde (PDF, ab S. 9441) interessante neue Einblicke in die Begründung der Bundesregierung und ihre Sichtweise zur Rechtmäßigkeit der geplanten Regelungen gegeben.

Nach Aussage von Lange kombinieren die vorgestellten Leitlinien

zeitlich und inhaltlich eng begrenzte Speicherfristen mit sehr strengen Abrufregelungen. Auf diese Weise wird den Vorgaben des Europäischen Gerichtshofs nachgekommen.

Die Antworten des parlamentarischen Staatssekretärs erfolgten auf Fragen der Bundestagsabgeordneten Katja Keul (Grüne). Frau Keul kritisierte vor allem, dass die vorgestellten Leitlinien weiterhin eine „anlasslose“ Speicherung von Verkehrsdaten vorsehen. Doch diese Anlasslosigkeit, also eine Speicherung von Verkehrsdaten von Personen, „bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte“ (so der EuGH in seinem Urteil, Rz. 58), führte im Fall der europäischen Richtlinie zur Vorratsdatenspeicherung unter anderem zu deren Unwirksamkeit.

Herr Lange verweist in seiner Antwort ebenfalls auf Rz. 57 und 58 des EuGH-Urteils. Den dort von dem Gerichtshof aufgestellten Vorgaben, werde die Bundesregierung dadurch

nachkommen, dass gerade nicht alle Daten gespeichert werden – wie ich es in der Antwort eben dargestellt habe. So sind die Daten von Diensten der elektronischen Post komplett ausgenommen. Auch aufgerufene Internetseiten und Inhalte der Kommunikationen werden nicht gespeichert.

Leider verweist Herr Lange nicht auf den Umstand, dass ein Teil seiner Begründungen völlig ins Leere gehen. Denn die vom EuGH für ungültig erklärte Richtlinie sah überhaupt keine Speicherung von aufgerufenen Internetseiten oder gar Inhalten der Kommunikation vor. Es werden also Argumente für eine Einhaltung der Vorgaben des EuGH vorgebracht, die der EuGH überhaupt nicht zu prüfen und in seine Erwägung einbezogen hatte.

Herr Lange weiter:

Schließlich werden Berufsgeheimnisträger besonders geschützt.

Unabhängig davon, wie dieser Schutz nach (!) einer Erhebung und Speicherung der Verkehrsdaten von Berufsgeheimnisträgern ausgestaltet ist, werden die Verkehrsdaten dieser Personengruppe nach den Leitlinien auch anlasslos erhoben und gespeichert.

Etwas zum Schmunzeln und in der politischen Beratung im Bundestag bestimmt ein ungewöhnlicher Vorgang (noch dazu wenn man bedenkt, dass hier die Bundesregierung einen noch nicht vorgelegten Gesetzesentwurf verteidigt), ist dann noch der Hinweis von Frau Keul auf den bekannten Tweet von Justizminister Maas, der lautet:

#VDS lehne ich entschieden ab – verstößt gg Recht auf Privatheit u Datenschutz. Kein deutsches Gesetz u keine EU-RL! http://t.co/TOnbqi2vST

— Heiko Maas (@HeikoMaas) 15. Dezember 2014

Die Vereinbarkeit einer solchen Aussage mit den später vorgestellten Leitlinien wurde auf Twitter kritisiert. Auch hierzu äußert sich Herr Lange und erklärt abschließend:

Deshalb ist dieser Tweet in vollem Einklang mit dem Vorgehen der Bundesregierung.

 

Data Retention Law: German Minister presents guidelines for future regulation

Today the German Minister for Justice and Consumer Protection, Heiko Maas, presented the “Guidelines for the Introduction of a data retention obligation and maximum retention periods for traffic data” ((GERMAN) PDF).

After the European Court of Justice in April 2014 (C-293/12) found that the European Directive on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks was is invalid and after the German Federal Constitutional Court already in 2010 found that certain provisions on data retention of the Telecommunications Act were unconstitutional in their present form (Press Release), the interested public in Germany was expecting a new proposal for a national data retention law. The guidelines published today only roughly outline the possible substance of a new data retention law in Germany. According to the Ministry, this proposal for a new bill (amending the Telecommunications Act) shall be tabled until this summer.

Very briefly, the guidelines provide the following requirements for a future data retention law:

  • The data affected by the retention obligation: telephone number; point of time and duration of the call; if mobile communication is affected, also the location data; IP-address; point of time and the duration of the allocation of the IP-address
  • Data not affected: content of the communication; websites visited; data of e-mail providers
  • The respective data must be stored in “the interior” (it is not entirely clear whether that means Germany or the European Union)
  • Retention periods: 4 weeks for location data, 10 weeks for the rest
  • Access to data is in general subject to prior review by a court
  • Access to the data shall only be possible in the case of criminal prosecutions concerning “severe” offences. A catalogue of the respective offences is attached to the guidelines, among them murder, aggravated robbery, robbery causing death, forming criminal organisations, forming terrorist organisations but also certain offences under the German narcotics act.
  • Persons affected by an access to their communication data must in general be notified before the data is accessed by the authorities. In some circumstances, secret access might be legal, but notice must then be given afterwards.
  • Legal provisions with the obligation of professional secrecy (lawyers, doctors, etc) will not exempted from the collection of the data, but this data shall not be accessed
  • The creation of personal profiles and profiles consisting of location data is prohibited
  • The data retained must be protected by using a particularly secure encryption method (there no reference to a specific one in the guidelines)
  • If data is accessed, a double-verification-principle (four eyes) must be established
  • If a telecommunication provider does not automatically delete the retained data after the respective periods, he faces monetary fines

Flug #4U9525: Lag es am deutschen Datenschutzrecht?

Für das Magazin TIME scheint festzustehen, dass die strengen Vorgaben des deutschen Datenschutzrechts zum Umgang mit Gesundheitsdaten dem Co-Piloten des am Dienstag verunglückten Fluges von Germanwings dabei behilflich waren, seinem Arbeitgeber nichts von der wohl bestehenden Krankschreibung mitzuteilen und Germanwings auch nicht selbst von einer möglichen Erkrankung hätte Kenntnis nehmen dürfen. Unter dem Titel „German Privacy Laws Let Pilot ‘Hide’ His Illness From Employers“ wird darüber berichtet, wie schwierig es für deutsche Arbeitgeber sein kann, Informationen zum Gesundheitszustand von Arbeitnehmern ohne deren Einwilligung zu erlangen.

Die Vorschriften des deutschen Datenschutzrechts zum Umgang mit sog. „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG), zu denen etwa auch Informationen zum Gesundheitszustand gehören, sind streng. In der heutigen Zeit des „Internets der Dinge“, der „Wearables“ und tragbarer smarter Fitnessgeräte oft sogar so streng, dass sie jungen Unternehmen in diesem Bereich den Markteintritt und ein wirtschaftliches Handeln sehr erschweren. Hierüber muss und sollte man in Zukunft auch sprechen. Nachfolgend soll es jedoch allein um zwei Fragen gehen, die der Artikel der TIME meines Erachtens zumindest unvollständig beleuchtet.


Hätte Germanwings Informationen zum Gesundheitszustand einholen dürfen?

Zwischen dem Co-Piloten und Germanwings bestand ein Arbeitsverhältnis. Für Datenverarbeitungen in diesen Fällen stellt § 32 BDSG eine Sondervorschrift dar. Nach § 32 Abs. 1 S. 1 BDSG dürfen für Zwecke des Beschäftigungsverhältnisses personenbezogene Daten verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Nun handelt es sich bei Daten zum Gesundheitszustand eines Betroffenen jedoch auch um „besondere Arten personenbezogener Daten“. Diese dürfen grundsätzlich nur mit der ausdrücklichen Einwilligung des Betroffenen verarbeitet werden oder aber es liegt eine gesetzliche Erlaubnisnorm vor, die die Verarbeitung legitimiert. Die Voraussetzungen, unter denen besondere Arten personenbezogener Daten ausnahmsweise auch ohne Einwilligung des Betroffenen durch den Arbeitgeber erhoben, verarbeitet oder genutzt werden dürfen, finden sich für Arztpraxen ganz grundsätzlich in §§ 28 Abs. 6 bis 9 BDSG (daneben gibt es viele Spezialnormen, etwa in den Büchern des SGB, die datenschutzrechtliche Vorgaben für bestimmte Beziehungen, z. B. Arzt gegenüber Krankenversicherung oder Arzt gegenüber anderem Arzt, machen).

Man kann nun zunächst debattieren, ob denn § 28 Abs. 6 BDSG überhaupt im Beschäftigungsverhältnis anwendbar ist. Immerhin existiert ja die Spezialnorm des § 32 BDSG. In der juristischen Literatur wird (u.a. mit Verweis auf die Gesetzesmaterialien) davon ausgegangen, dass auch im Beschäftigungsverhältnis die §§ 28 Abs. 6 bis 9 BDSG als spezielle Normen zum Umgang mit Gesundheitsdaten vorgehen. § 32 BDSG kann also für die Verarbeitung von sensiblen Daten nicht als Grundlage herangezogen werden.

Für die Datenverarbeitungen im Rahmen von arbeitsvertraglichen Beziehungen (zwischen Germanwings und dem Co-Piloten) kommt § 28 Abs. 6 Nr. 3 BDSG in Betracht. Danach ist die Erhebung, Verarbeitung oder Nutzung der Daten gestattet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt.

Ein Anspruch im Sinne der Vorschrift ist ganz allgemein gesprochen das Recht einer Person, von einer anderen Person ein Tun oder Unterlassen zu verlangen. Germanwings hatte gegenüber dem Co-Piloten aus dem Arbeitsverhältnis bestimmte Rechte. Ohne Einzelheiten zu kennen, kann ich mir gut vorstellen, dass gerade bei einer Tätigkeit als Pilot von Verkehrsmaschinen der Arbeitgeber etwa ein Recht hat, einen Piloten nicht einzusetzen, wenn Anzeichen für eine Fluguntauglichkeit bestehen. Man könnte also durchaus argumentieren, dass der Arbeitgeber zur Ausübung seiner bestehenden rechtlichen Ansprüche diejenigen Datenverarbeitungen vornehmen durfte, die zur Geltendmachung seines Rechts einen Piloten nicht einzusetzen, erforderlich sind.

Die entscheidende Frage ist dann freilich, wie der Arbeitgeber etwa von einer möglichen Fluguntauglichkeit Kenntnis erlangen kann. Es geht dann um das Tatbestandsmerkmal der „Erforderlichkeit“. In welchem Umfang sind Datenerhebungen von Informationen zum Gesundheitszustand noch erforderlich? Sind Kontrollen der Piloten am Ende jeder Woche erforderlich? Ist eine Kenntnisnahme von Kontrollergebnissen aus Kliniken oder Arztpraxen jedes Jahr erforderlich? Dies sind Abwägungsfragen im Einzelfall und von den konkreten Umständen abhängig.

Zudem müssen bei einer derartigen Datenverarbeitung auch noch die schutzwürdigen Interessen der Betroffenen beachtet werden. Diese Interessen dürften freilich etwa dann zurückstehen, wenn der Arbeitgeber zum Beispiel Kenntnis von einer möglichen Erkrankung erhält, die den Arbeitnehmer an der Erfüllung seiner arbeitsvertraglichen Pflichten hindert und damit gleichzeitig (wie hier) möglicherweise noch eine Gefährdung für andere Personen einhergeht. Eine darauf erfolgende Nachfrage zu gesundheitlichen Umständen und damit verbundene Erhebung von Gesundheitsdaten kann also durchaus gerechtfertigt sein. Die Einwilligung des Betroffenen ist hierfür nicht immer erforderlich.

Hätten die Ärzte von sich aus Daten übermitteln dürfen?
In dem Beitrag bei TIME heißt es unter anderem:

But under German law, only Lubitz – and not his doctor – would have had the legal right to disclose the details of his health to his employers at Germanwings.

Auch diese Aussage ist meines Erachtens in dieser Pauschalität nicht korrekt.

Die Ärzte hätten durchaus datenschutzrechtlich die Möglichkeit gehabt, Informationen zum Gesundheitszustand weiterzugeben. Dies nämlich dann, wenn eine Gefährdung der „öffentlichen Sicherheit“ zu befürchte gewesen wäre. Jedoch muss man hier direkt eine ganz wichtige Einschränkung machen: wann diese Gefährdung offensichtlich wird, ist freilich keine rechtlich zu definierende Vorgabe. Auch wenn etwa ein Verkehrspilot sich in Behandlung befindet, so darf man durchaus davon ausgehen, dass hierdurch nicht direkt stets die öffentliche Sicherheit bedroht ist. Auch Piloten können ganz normal erkranken. Es handelt sich also um eine schwierige Frage des Einzelfalls und vor allem auch der konkreten Umstände.

Um zum Thema zurückzukommen, liegt es jedoch nicht am deutschen Datenschutzrecht, dass eine Übermittlung nicht hätte stattfinden dürfen. § 28 Abs. 8 BDSG enthält zwei Tatbestände, bei denen eine Datenverwendung für andere Zwecke (als für die Zwecke der ursprünglichen Erhebung, etwa in der Behandlung in der Arztpraxis) erlaubt ist. Zum einen kann nach § 28 Abs. 8 S. 1 BDSG eine Zweckänderung unter den Voraussetzungen des § 28 Abs. 6 Nr. 1 – Nr. 4 BDSG und Abs. 7 S. 1 BDSG erfolgen. Vorliegend relevant ist jedoch § 28 Abs. 8 S. 2 BDSG, wonach die Übermittlung aus Sicherheitsinteressen möglich ist. Die Übermittlung (das ist die Weitergabe der Daten an Dritte, z. B. die Fluggesellschaft) von Gesundheitsdaten ist erlaubt, wenn die Angaben dazu verwendet werden sollen, erhebliche Gefahren für die staatliche und öffentliche Sicherheit abzuwehren. Die bloße Gefährdung der staatlichen und öffentlichen Sicherheit reicht nicht aus. Der Auswahlmaßstab ist (aufgrund der Schutzwürdigkeit der Daten) besonders eng. Eine Verarbeitung kommt nur bei „erheblichen“ Gefahren in Betracht.

Es muss also um eine gesteigerte Gefahrenlage gehen, welche sich etwa aus der besonderen Höhe und Güte der betroffenen Rechtsgüter oder auch aus der besonderen zeitlichen Nähe der Gefahr ergeben kann. Der Begriff der öffentlichen Sicherheit umfasst den Schutz zentraler Rechtsgüter wie Leben, Gesundheit, Freiheit, Ehre, Eigentum und Vermögen des Einzelnen sowie die Unversehrtheit der Rechtsordnung und der staatlichen Einrichtungen (so etwa das Bundesverwaltungsgericht, BVerwG 6 C 21.07). Erfasst wären also auch das Leben und die Gesundheit von Flugpassieren, welche einer ehrblichen Gefahr ausgesetzt sein müssten.

Nun muss man im Konjunktiv schreiben: hätte ein behandelnder Arzt also etwa tatsächliche Anhaltspunkte dafür gehabt, dass ein Co-Pilot aufgrund einer Erkrankung eine derartig schreckliche Tat plante, dann hätte er die Information zur Krankschreibung im Einzelfall auch an den Arbeitgeber zur Abwehr von einer erheblichen Gefahr, etwa für die Leben von Fluggästen, übermitteln dürfen. Für mich stellt sich jedoch die Frage, ob man so etwas aber überhaupt ahnen oder vorsehen kann. Wo zieht man hier die Grenze? Auch das ist jedoch keine Frage des Datenschutzrechts.

Fazit
Pauschal davon zu sprechen, das deutsche Datenschutzrecht hätte eine Kenntnisnahme einer möglichen Erkrankung verhindert, halte ich daher für zweifelhaft. Sicher, die Anforderungen sind hoch. Diese stammen im Übrigen nicht etwa nur aus der Feder des deutschen Gesetzgebers. So regelt § 28 Abs. 8 S. 2 BDSG etwa einen Fall zulässiger Zweckänderung, der sich aus Art. 8 Abs. 4 der EU-Datenschutzrichtlinie (RL 95/46/EG) ergibt. Dort ist die Rede von „Gründen eines wichtigen öffentlichen Interesses“, wann eine Datenverarbeitung von besonderen Arten personenbezogener Daten erlaubt ist. Vorliegend habe ich ausschließlich einen Blick auf die datenschutzrechtlichen Vorgaben des BDSG geworfen. Gerade Ärzte würden sich daneben zudem dem Risiko einer strafrechtlichen Verfolgung ausgesetzt sehen, wenn sie nämlich ein Berufsgeheimnis unbefugt Dritten offenbaren (§ 203 Abs. 1 Nr. 1 StGB). Im vorliegenden Fall könnte man jedoch an den Rechtfertigungsgrund des rechtfertigenden Notstandes (§ 34 StGB) zu Gunsten des Arztes denken. Voraussetzung ist, dass die Tat (des Arztes, also die Weiterleitung der Gesundheitsinformationen) Individualinteressen Dritter dient. § 34 StGB kommt als Rechtfertigungsgrund z. B. in Betracht, wenn sich ein Patient trotz Kenntnis und Belehrung durch einen Arzt weigert, gefährdete Personen über die bestehende Gefahr einer Infektion, etwa HIV, aufzuklären (so das OLG Frankfurt am Main, Urteil vom 05.10.1999 – 8 U 67/99).

Bayerischer Datenschützer: Keine Aussetzungen unter Safe Harbor; erhöhtes Bußgeld bei Browser-Fingerprinting

Heute hat der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013 und 2014 vorgelegt. Das BayLDA ist zuständig für die Überwachung der Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern. Der Tätigkeitsbericht ist daher auf den Bereich des Datenschutzes in der Privatwirtschaft beschränkt. Die Ausführungen in dem Bericht sind für datenschutzrechtlich Interessierte sicherlich lesenswert und geben verantwortlichen Stellen in Bayern einen praxisnahen „Leitfaden“ an die Hand, wie die für sie zuständige Behörde das Datenschutzrecht durchsetzt. Nachfolgend zu einigen in dem Bericht behandelten Themen.

Safe Harbor: Keine Aussetzungen von Datentransfers
Bekanntlich sind vor allem die deutschen Datenschutzbehörden von dem Instrument „Safe Harbor“ als Grundlage für Übermittlungen personenbezogener Daten in die USA nicht überzeugt. Erst letzte Woche wurde eine Entschließung der deutschen Behörden veröffentlicht, nach der die

Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA entfaltet.

Das BayLDA schlägt hier in seinem Tätigkeitsbericht etwas pragmatischere (und meiner Ansicht nach die richtigen) Töne an. Die betreffende Entscheidung der Kommission (2000/520/EG vom 26.07.2000) ist nämlich nach dem Tätigkeitsbericht gegenwärtig nach wie vor in Kraft und für die Datenschutzbehörden der Mitgliedstaaten bindend (Art. 25 Abs. 6 Satz 2 der geltenden Datenschutzrichtlinie 95/46/EG). Das BayLDA weiter:

Auch wenn gerade die deutschen Datenschutzbehörden bereits mehrfach Kritik an der praktischen Umsetzung des Safe-Harbor-Systems geäußert haben, ist die Safe-Harbor-Kommissionsentscheidung auch für sie bindend. Damit ist nach wie vor davon auszugehen, dass US-Unternehmen, die eine aktuelle gültige Safe-Harbor-Zertifizierung besitzen, jedenfalls grundsätzlich ein „angemessenes Datenschutzniveau“ im Sinne von § 4b BDSG aufweisen. (S. 105)

Richtigerweise geht das BayLDA daher davon aus, dass personenbezogene Daten aus Deutschland an US-Unternehmen mit gültiger Safe Harbor-Zertifizierung übermittelt werden dürfen, vorausgesetzt die Datenübermittlung selbst ist ebenfalls gerechtfertigt (etwa durch eine Einwilligung oder auf der Grundlage eines Vertrages). Für deutsche Behörden besteht nach Art. 3 Abs. 1 Satz 1 Buchstabe b der Safe Harbor-Entscheidung die Möglichkeit, einzelne Datenübermittlungen an Safe Harbor-zertifizierte US-Unternehmen u. a. aussetzen. Safe Harbor selbst kann jedoch nur von der EU-Kommission abgeändert oder aufgehoben werden. Erforderlich für die Untersagung einzelner Datentransfers ist, dass „eine hohe Wahrscheinlichkeit besteht, dass die (Safe Harbor-Datenschutz-)Grundsätze verletzt werden“. Auf Grundlage dieser Gegebenheiten hat das BayLDA bislang jedoch keine Maßnahmen zur Aussetzung von Transfers personenbezogener Daten durch Unternehmen aus Bayern in die USA eingeleitet und es sind derzeit keine entsprechenden Maßnahmen vorgesehen.

Browser-Fingerprinting: Erhöhtes Bußgeld bei rechtswidriger Datenverarbeitung
Ein anderes Thema in dem wirklich lesenswerten Bericht ist das Tracking mit sog. „fortgeschrittenen Webtechnologien“ (ab S. 57). Zunächst werden einige Tracking-Technologien vorgestellt (u.a. Flash-Cookies; Canvas-Fingerprinting; Browser-Fingerprinting). Nach Ansicht des BayLDA ermöglicht der Einsatz dieser Trackingmethoden, dass der Browser eines Webseitenbesuchers mit sehr hoher Wahrscheinlichkeit eindeutig bestimmt werden kann. Dies auch dann, wenn der Nutzer das Setzen von herkömmlichen Cookies auf seinem PC ablehnt. Das BayLDA weist dann auf die Voraussetzungen des § 15 Abs. 3 TMG hin, wonach das Erstellen von Nutzungsprofilen unter Pseudonym zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien rechtlich zulässig ist, wenn ein Nutzer einem solchen Profil nicht widerspricht. Das BayLDA geht folglich grundsätzlich von der Möglichkeit eines rechtlich zulässigen Einsatzes der oben benannten Trackingmethoden auf der Grundlage von § 15 Abs. 3 TMG aus. Einschränkend fügt die Behörde jedoch hinzu, dass die Nutzer freilich auf ihr Widerspruchsrecht und auf die Datenverarbeitung an sich hinzuweisen sind. Nach Ansicht des BayLDA

gestaltet sich die praktische Umsetzung dieser gesetzlichen Anforderung jedoch oftmals als nicht ausreichend.

Häufig würden die Informationen nämlich nicht transparent und auch nicht verständlich dargestellt werden. Für die Praxis besonders wichtig ist in diesem Zusammenhang der Hinweis der Behörde, dass (im Fall der mangelnden Umsetzung der gesetzlichen Vorgaben) das Risiko eines Bußgeldes insofern erhöht wäre, da das BayLDA

den ordnungswidrigen Einsatz von Verfahren, mit denen die Nutzereinstellungen zum Schutz vor einer Nutzungsprofilbildung gezielt ausgehebelt werden, verstärkt mit Bußgeldern ahnden.

Der Tätigkeitsbericht befasst sich mit vielen weiteren Thematiken: von Fragen um den betrieblichen Datenschutzbeauftragen (was ist etwa bei einer längeren, krankheitsbedingten Abwesenheit zu tun?), über die Auftragsdatenverarbeitung und Werbung sowie Adresshandel wird eine bunte Palette an Themen behandelt.

Anonymisierte Mobilfunkdaten: Deutsche Telekom unterstützt Verkehrsanalyse

Wie bewegen sich jeden Tag die Menschen in den Städten auf dem Weg zur Arbeit und dem Heimweg? Wie können die Betreiber des öffentlichen Nahverkehrs passgenaue Lösungen für die Anforderungen an den Betrieb des Verkehrsnetzes entwickeln? Mit Hilfe von sog. „Schwarmdaten“ soll nun der öffentliche Nahverkehr in Nürnberg smarter und noch attraktiver für die Fahrgäste. In einem Pilotprojekt nutzt die VAG Verkehrs-Aktiengesellschaft Nürnberg als erstes Verkehrsunternehmen Deutschlands anonymisierte Mobilfunkdaten der Deutschen Telekom, um eine bessere Datenbasis zur Optimierung ihres Verkehrsangebots zu erhalten, wie die Deutsche Telekom heute auf der eigenen Unternehmenswebseite ankündigt.

Welche Daten werden analysiert?
Umfasst von der Analyse sind laut der Deutschen Telekom allein anonymisierte Mobilfunkdaten. Neben den reinen Mobilfunkdaten können noch zusätzlich drei Datenkategorien (Geschlecht, Altersgruppe in 10-Jahresschritten und Heimatregion) von Informationen zu Kunden, sog. CRM-Daten, die ebenfalls nur anonymisiert vorliegen, hinzukommen. Das zugrundeliegende Verfahren zur Anonymisierung der Mobilfunkdaten wurde von der für den Datenschutz bei Telekommunikationsanbietern zuständigen Behörde, der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), eingehend geprüft und als datenschutzkonform bewertet. Auch die mögliche Aggregierung der anonymisierten Mobilfunkdaten mit den anonymisierten CRM-Daten wurde von der BfDI als rechtlich zulässig abgenickt. Bei dem Verfahren wird sichergestellt, dass die anonymisierten Mobilfunkdaten mit anonymisierten CRM-Daten ergänzt werden können, ohne dass dadurch Rückschlüsse auf einzelne Mobilfunknutzer möglich sind.
Laut Informationen der Deutschen Telekom läuft der gesamt Prozess der Anonymisierung in einem eignen Hochsicherheits-Rechenzentrum ab. Personenbezogene Daten werden nicht an Dritte weitergegeben.

Wer analysiert die Daten?
Die so anonymisierten und zusammengefassten Daten werden allein an Motionlogic, ein Tochterunternehmen der Deutschen Telekom, übergeben. Das Unternehmen ist auf Datenanalysen spezialisiert und kann auf der Basis großer Mengen anonymer Daten belastbare Aussagen über Verkehrs- und Bewegungsströme treffen.

Zusätzlicher Service: Opt-out für Kunden (Ausschaltknopf)
Die Deutsche Telekom wird jedoch keine persönlichen Daten von Kunden in das Verfahren einbringen, wenn Kunden dies grundsätzlich nicht möchten. Das Unternehmen stellt seinen Kunden, über die gesetzlichen Vorgaben hinausgehend, die Möglichkeit zur Verfügung, der Nutzung der Kundeninformationen aus den CRM-Daten zu widersprechen.

Dazu hat die Telekom als erster deutscher Mobilfunkanbieter freiwillig und über die gesetzlichen Anforderungen hinaus die Möglichkeit eines sogenannten “Opt-Out” geschaffen: Kunden können die Nutzung ihrer persönlichen Daten für diesen Zweck jederzeit unterbinden.

Diese Möglichkeit des Opt-out geht deshalb über die gesetzlichen Anforderungen hinaus, da es sich um anonymisierte Daten handelt, welche eigentlich gar nicht in den Schutzbereich der Datenschutzgesetze fallen.
Nach Angaben der Telekom haben Kunden bis zum 01.06.2015 unter www.telekom.de/opt-out die Möglichkeit, ihren Widerspruch auszuüben.

Fazit
Meines Erachtens geht die Telekom hier den richtigen Weg, indem sie öffentlich mit einem datenschutzkonformen Umgang mit Kundendaten wirbt und darauf hinweist, welche zusätzlichen Mechanismen man einführt, um eventuell dennoch bestehenden Bedenken Rechnung zu tragen.