Data Retention Law: German Minister presents guidelines for future regulation

Today the German Minister for Justice and Consumer Protection, Heiko Maas, presented the “Guidelines for the Introduction of a data retention obligation and maximum retention periods for traffic data” ((GERMAN) PDF).

After the European Court of Justice in April 2014 (C-293/12) found that the European Directive on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks was is invalid and after the German Federal Constitutional Court already in 2010 found that certain provisions on data retention of the Telecommunications Act were unconstitutional in their present form (Press Release), the interested public in Germany was expecting a new proposal for a national data retention law. The guidelines published today only roughly outline the possible substance of a new data retention law in Germany. According to the Ministry, this proposal for a new bill (amending the Telecommunications Act) shall be tabled until this summer.

Very briefly, the guidelines provide the following requirements for a future data retention law:

  • The data affected by the retention obligation: telephone number; point of time and duration of the call; if mobile communication is affected, also the location data; IP-address; point of time and the duration of the allocation of the IP-address
  • Data not affected: content of the communication; websites visited; data of e-mail providers
  • The respective data must be stored in “the interior” (it is not entirely clear whether that means Germany or the European Union)
  • Retention periods: 4 weeks for location data, 10 weeks for the rest
  • Access to data is in general subject to prior review by a court
  • Access to the data shall only be possible in the case of criminal prosecutions concerning “severe” offences. A catalogue of the respective offences is attached to the guidelines, among them murder, aggravated robbery, robbery causing death, forming criminal organisations, forming terrorist organisations but also certain offences under the German narcotics act.
  • Persons affected by an access to their communication data must in general be notified before the data is accessed by the authorities. In some circumstances, secret access might be legal, but notice must then be given afterwards.
  • Legal provisions with the obligation of professional secrecy (lawyers, doctors, etc) will not exempted from the collection of the data, but this data shall not be accessed
  • The creation of personal profiles and profiles consisting of location data is prohibited
  • The data retained must be protected by using a particularly secure encryption method (there no reference to a specific one in the guidelines)
  • If data is accessed, a double-verification-principle (four eyes) must be established
  • If a telecommunication provider does not automatically delete the retained data after the respective periods, he faces monetary fines

Flug #4U9525: Lag es am deutschen Datenschutzrecht?

Für das Magazin TIME scheint festzustehen, dass die strengen Vorgaben des deutschen Datenschutzrechts zum Umgang mit Gesundheitsdaten dem Co-Piloten des am Dienstag verunglückten Fluges von Germanwings dabei behilflich waren, seinem Arbeitgeber nichts von der wohl bestehenden Krankschreibung mitzuteilen und Germanwings auch nicht selbst von einer möglichen Erkrankung hätte Kenntnis nehmen dürfen. Unter dem Titel „German Privacy Laws Let Pilot ‘Hide’ His Illness From Employers“ wird darüber berichtet, wie schwierig es für deutsche Arbeitgeber sein kann, Informationen zum Gesundheitszustand von Arbeitnehmern ohne deren Einwilligung zu erlangen.

Die Vorschriften des deutschen Datenschutzrechts zum Umgang mit sog. „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG), zu denen etwa auch Informationen zum Gesundheitszustand gehören, sind streng. In der heutigen Zeit des „Internets der Dinge“, der „Wearables“ und tragbarer smarter Fitnessgeräte oft sogar so streng, dass sie jungen Unternehmen in diesem Bereich den Markteintritt und ein wirtschaftliches Handeln sehr erschweren. Hierüber muss und sollte man in Zukunft auch sprechen. Nachfolgend soll es jedoch allein um zwei Fragen gehen, die der Artikel der TIME meines Erachtens zumindest unvollständig beleuchtet.


Hätte Germanwings Informationen zum Gesundheitszustand einholen dürfen?

Zwischen dem Co-Piloten und Germanwings bestand ein Arbeitsverhältnis. Für Datenverarbeitungen in diesen Fällen stellt § 32 BDSG eine Sondervorschrift dar. Nach § 32 Abs. 1 S. 1 BDSG dürfen für Zwecke des Beschäftigungsverhältnisses personenbezogene Daten verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Nun handelt es sich bei Daten zum Gesundheitszustand eines Betroffenen jedoch auch um „besondere Arten personenbezogener Daten“. Diese dürfen grundsätzlich nur mit der ausdrücklichen Einwilligung des Betroffenen verarbeitet werden oder aber es liegt eine gesetzliche Erlaubnisnorm vor, die die Verarbeitung legitimiert. Die Voraussetzungen, unter denen besondere Arten personenbezogener Daten ausnahmsweise auch ohne Einwilligung des Betroffenen durch den Arbeitgeber erhoben, verarbeitet oder genutzt werden dürfen, finden sich für Arztpraxen ganz grundsätzlich in §§ 28 Abs. 6 bis 9 BDSG (daneben gibt es viele Spezialnormen, etwa in den Büchern des SGB, die datenschutzrechtliche Vorgaben für bestimmte Beziehungen, z. B. Arzt gegenüber Krankenversicherung oder Arzt gegenüber anderem Arzt, machen).

Man kann nun zunächst debattieren, ob denn § 28 Abs. 6 BDSG überhaupt im Beschäftigungsverhältnis anwendbar ist. Immerhin existiert ja die Spezialnorm des § 32 BDSG. In der juristischen Literatur wird (u.a. mit Verweis auf die Gesetzesmaterialien) davon ausgegangen, dass auch im Beschäftigungsverhältnis die §§ 28 Abs. 6 bis 9 BDSG als spezielle Normen zum Umgang mit Gesundheitsdaten vorgehen. § 32 BDSG kann also für die Verarbeitung von sensiblen Daten nicht als Grundlage herangezogen werden.

Für die Datenverarbeitungen im Rahmen von arbeitsvertraglichen Beziehungen (zwischen Germanwings und dem Co-Piloten) kommt § 28 Abs. 6 Nr. 3 BDSG in Betracht. Danach ist die Erhebung, Verarbeitung oder Nutzung der Daten gestattet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt.

Ein Anspruch im Sinne der Vorschrift ist ganz allgemein gesprochen das Recht einer Person, von einer anderen Person ein Tun oder Unterlassen zu verlangen. Germanwings hatte gegenüber dem Co-Piloten aus dem Arbeitsverhältnis bestimmte Rechte. Ohne Einzelheiten zu kennen, kann ich mir gut vorstellen, dass gerade bei einer Tätigkeit als Pilot von Verkehrsmaschinen der Arbeitgeber etwa ein Recht hat, einen Piloten nicht einzusetzen, wenn Anzeichen für eine Fluguntauglichkeit bestehen. Man könnte also durchaus argumentieren, dass der Arbeitgeber zur Ausübung seiner bestehenden rechtlichen Ansprüche diejenigen Datenverarbeitungen vornehmen durfte, die zur Geltendmachung seines Rechts einen Piloten nicht einzusetzen, erforderlich sind.

Die entscheidende Frage ist dann freilich, wie der Arbeitgeber etwa von einer möglichen Fluguntauglichkeit Kenntnis erlangen kann. Es geht dann um das Tatbestandsmerkmal der „Erforderlichkeit“. In welchem Umfang sind Datenerhebungen von Informationen zum Gesundheitszustand noch erforderlich? Sind Kontrollen der Piloten am Ende jeder Woche erforderlich? Ist eine Kenntnisnahme von Kontrollergebnissen aus Kliniken oder Arztpraxen jedes Jahr erforderlich? Dies sind Abwägungsfragen im Einzelfall und von den konkreten Umständen abhängig.

Zudem müssen bei einer derartigen Datenverarbeitung auch noch die schutzwürdigen Interessen der Betroffenen beachtet werden. Diese Interessen dürften freilich etwa dann zurückstehen, wenn der Arbeitgeber zum Beispiel Kenntnis von einer möglichen Erkrankung erhält, die den Arbeitnehmer an der Erfüllung seiner arbeitsvertraglichen Pflichten hindert und damit gleichzeitig (wie hier) möglicherweise noch eine Gefährdung für andere Personen einhergeht. Eine darauf erfolgende Nachfrage zu gesundheitlichen Umständen und damit verbundene Erhebung von Gesundheitsdaten kann also durchaus gerechtfertigt sein. Die Einwilligung des Betroffenen ist hierfür nicht immer erforderlich.

Hätten die Ärzte von sich aus Daten übermitteln dürfen?
In dem Beitrag bei TIME heißt es unter anderem:

But under German law, only Lubitz – and not his doctor – would have had the legal right to disclose the details of his health to his employers at Germanwings.

Auch diese Aussage ist meines Erachtens in dieser Pauschalität nicht korrekt.

Die Ärzte hätten durchaus datenschutzrechtlich die Möglichkeit gehabt, Informationen zum Gesundheitszustand weiterzugeben. Dies nämlich dann, wenn eine Gefährdung der „öffentlichen Sicherheit“ zu befürchte gewesen wäre. Jedoch muss man hier direkt eine ganz wichtige Einschränkung machen: wann diese Gefährdung offensichtlich wird, ist freilich keine rechtlich zu definierende Vorgabe. Auch wenn etwa ein Verkehrspilot sich in Behandlung befindet, so darf man durchaus davon ausgehen, dass hierdurch nicht direkt stets die öffentliche Sicherheit bedroht ist. Auch Piloten können ganz normal erkranken. Es handelt sich also um eine schwierige Frage des Einzelfalls und vor allem auch der konkreten Umstände.

Um zum Thema zurückzukommen, liegt es jedoch nicht am deutschen Datenschutzrecht, dass eine Übermittlung nicht hätte stattfinden dürfen. § 28 Abs. 8 BDSG enthält zwei Tatbestände, bei denen eine Datenverwendung für andere Zwecke (als für die Zwecke der ursprünglichen Erhebung, etwa in der Behandlung in der Arztpraxis) erlaubt ist. Zum einen kann nach § 28 Abs. 8 S. 1 BDSG eine Zweckänderung unter den Voraussetzungen des § 28 Abs. 6 Nr. 1 – Nr. 4 BDSG und Abs. 7 S. 1 BDSG erfolgen. Vorliegend relevant ist jedoch § 28 Abs. 8 S. 2 BDSG, wonach die Übermittlung aus Sicherheitsinteressen möglich ist. Die Übermittlung (das ist die Weitergabe der Daten an Dritte, z. B. die Fluggesellschaft) von Gesundheitsdaten ist erlaubt, wenn die Angaben dazu verwendet werden sollen, erhebliche Gefahren für die staatliche und öffentliche Sicherheit abzuwehren. Die bloße Gefährdung der staatlichen und öffentlichen Sicherheit reicht nicht aus. Der Auswahlmaßstab ist (aufgrund der Schutzwürdigkeit der Daten) besonders eng. Eine Verarbeitung kommt nur bei „erheblichen“ Gefahren in Betracht.

Es muss also um eine gesteigerte Gefahrenlage gehen, welche sich etwa aus der besonderen Höhe und Güte der betroffenen Rechtsgüter oder auch aus der besonderen zeitlichen Nähe der Gefahr ergeben kann. Der Begriff der öffentlichen Sicherheit umfasst den Schutz zentraler Rechtsgüter wie Leben, Gesundheit, Freiheit, Ehre, Eigentum und Vermögen des Einzelnen sowie die Unversehrtheit der Rechtsordnung und der staatlichen Einrichtungen (so etwa das Bundesverwaltungsgericht, BVerwG 6 C 21.07). Erfasst wären also auch das Leben und die Gesundheit von Flugpassieren, welche einer ehrblichen Gefahr ausgesetzt sein müssten.

Nun muss man im Konjunktiv schreiben: hätte ein behandelnder Arzt also etwa tatsächliche Anhaltspunkte dafür gehabt, dass ein Co-Pilot aufgrund einer Erkrankung eine derartig schreckliche Tat plante, dann hätte er die Information zur Krankschreibung im Einzelfall auch an den Arbeitgeber zur Abwehr von einer erheblichen Gefahr, etwa für die Leben von Fluggästen, übermitteln dürfen. Für mich stellt sich jedoch die Frage, ob man so etwas aber überhaupt ahnen oder vorsehen kann. Wo zieht man hier die Grenze? Auch das ist jedoch keine Frage des Datenschutzrechts.

Fazit
Pauschal davon zu sprechen, das deutsche Datenschutzrecht hätte eine Kenntnisnahme einer möglichen Erkrankung verhindert, halte ich daher für zweifelhaft. Sicher, die Anforderungen sind hoch. Diese stammen im Übrigen nicht etwa nur aus der Feder des deutschen Gesetzgebers. So regelt § 28 Abs. 8 S. 2 BDSG etwa einen Fall zulässiger Zweckänderung, der sich aus Art. 8 Abs. 4 der EU-Datenschutzrichtlinie (RL 95/46/EG) ergibt. Dort ist die Rede von „Gründen eines wichtigen öffentlichen Interesses“, wann eine Datenverarbeitung von besonderen Arten personenbezogener Daten erlaubt ist. Vorliegend habe ich ausschließlich einen Blick auf die datenschutzrechtlichen Vorgaben des BDSG geworfen. Gerade Ärzte würden sich daneben zudem dem Risiko einer strafrechtlichen Verfolgung ausgesetzt sehen, wenn sie nämlich ein Berufsgeheimnis unbefugt Dritten offenbaren (§ 203 Abs. 1 Nr. 1 StGB). Im vorliegenden Fall könnte man jedoch an den Rechtfertigungsgrund des rechtfertigenden Notstandes (§ 34 StGB) zu Gunsten des Arztes denken. Voraussetzung ist, dass die Tat (des Arztes, also die Weiterleitung der Gesundheitsinformationen) Individualinteressen Dritter dient. § 34 StGB kommt als Rechtfertigungsgrund z. B. in Betracht, wenn sich ein Patient trotz Kenntnis und Belehrung durch einen Arzt weigert, gefährdete Personen über die bestehende Gefahr einer Infektion, etwa HIV, aufzuklären (so das OLG Frankfurt am Main, Urteil vom 05.10.1999 – 8 U 67/99).

Bayerischer Datenschützer: Keine Aussetzungen unter Safe Harbor; erhöhtes Bußgeld bei Browser-Fingerprinting

Heute hat der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013 und 2014 vorgelegt. Das BayLDA ist zuständig für die Überwachung der Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern. Der Tätigkeitsbericht ist daher auf den Bereich des Datenschutzes in der Privatwirtschaft beschränkt. Die Ausführungen in dem Bericht sind für datenschutzrechtlich Interessierte sicherlich lesenswert und geben verantwortlichen Stellen in Bayern einen praxisnahen „Leitfaden“ an die Hand, wie die für sie zuständige Behörde das Datenschutzrecht durchsetzt. Nachfolgend zu einigen in dem Bericht behandelten Themen.

Safe Harbor: Keine Aussetzungen von Datentransfers
Bekanntlich sind vor allem die deutschen Datenschutzbehörden von dem Instrument „Safe Harbor“ als Grundlage für Übermittlungen personenbezogener Daten in die USA nicht überzeugt. Erst letzte Woche wurde eine Entschließung der deutschen Behörden veröffentlicht, nach der die

Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA entfaltet.

Das BayLDA schlägt hier in seinem Tätigkeitsbericht etwas pragmatischere (und meiner Ansicht nach die richtigen) Töne an. Die betreffende Entscheidung der Kommission (2000/520/EG vom 26.07.2000) ist nämlich nach dem Tätigkeitsbericht gegenwärtig nach wie vor in Kraft und für die Datenschutzbehörden der Mitgliedstaaten bindend (Art. 25 Abs. 6 Satz 2 der geltenden Datenschutzrichtlinie 95/46/EG). Das BayLDA weiter:

Auch wenn gerade die deutschen Datenschutzbehörden bereits mehrfach Kritik an der praktischen Umsetzung des Safe-Harbor-Systems geäußert haben, ist die Safe-Harbor-Kommissionsentscheidung auch für sie bindend. Damit ist nach wie vor davon auszugehen, dass US-Unternehmen, die eine aktuelle gültige Safe-Harbor-Zertifizierung besitzen, jedenfalls grundsätzlich ein „angemessenes Datenschutzniveau“ im Sinne von § 4b BDSG aufweisen. (S. 105)

Richtigerweise geht das BayLDA daher davon aus, dass personenbezogene Daten aus Deutschland an US-Unternehmen mit gültiger Safe Harbor-Zertifizierung übermittelt werden dürfen, vorausgesetzt die Datenübermittlung selbst ist ebenfalls gerechtfertigt (etwa durch eine Einwilligung oder auf der Grundlage eines Vertrages). Für deutsche Behörden besteht nach Art. 3 Abs. 1 Satz 1 Buchstabe b der Safe Harbor-Entscheidung die Möglichkeit, einzelne Datenübermittlungen an Safe Harbor-zertifizierte US-Unternehmen u. a. aussetzen. Safe Harbor selbst kann jedoch nur von der EU-Kommission abgeändert oder aufgehoben werden. Erforderlich für die Untersagung einzelner Datentransfers ist, dass „eine hohe Wahrscheinlichkeit besteht, dass die (Safe Harbor-Datenschutz-)Grundsätze verletzt werden“. Auf Grundlage dieser Gegebenheiten hat das BayLDA bislang jedoch keine Maßnahmen zur Aussetzung von Transfers personenbezogener Daten durch Unternehmen aus Bayern in die USA eingeleitet und es sind derzeit keine entsprechenden Maßnahmen vorgesehen.

Browser-Fingerprinting: Erhöhtes Bußgeld bei rechtswidriger Datenverarbeitung
Ein anderes Thema in dem wirklich lesenswerten Bericht ist das Tracking mit sog. „fortgeschrittenen Webtechnologien“ (ab S. 57). Zunächst werden einige Tracking-Technologien vorgestellt (u.a. Flash-Cookies; Canvas-Fingerprinting; Browser-Fingerprinting). Nach Ansicht des BayLDA ermöglicht der Einsatz dieser Trackingmethoden, dass der Browser eines Webseitenbesuchers mit sehr hoher Wahrscheinlichkeit eindeutig bestimmt werden kann. Dies auch dann, wenn der Nutzer das Setzen von herkömmlichen Cookies auf seinem PC ablehnt. Das BayLDA weist dann auf die Voraussetzungen des § 15 Abs. 3 TMG hin, wonach das Erstellen von Nutzungsprofilen unter Pseudonym zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien rechtlich zulässig ist, wenn ein Nutzer einem solchen Profil nicht widerspricht. Das BayLDA geht folglich grundsätzlich von der Möglichkeit eines rechtlich zulässigen Einsatzes der oben benannten Trackingmethoden auf der Grundlage von § 15 Abs. 3 TMG aus. Einschränkend fügt die Behörde jedoch hinzu, dass die Nutzer freilich auf ihr Widerspruchsrecht und auf die Datenverarbeitung an sich hinzuweisen sind. Nach Ansicht des BayLDA

gestaltet sich die praktische Umsetzung dieser gesetzlichen Anforderung jedoch oftmals als nicht ausreichend.

Häufig würden die Informationen nämlich nicht transparent und auch nicht verständlich dargestellt werden. Für die Praxis besonders wichtig ist in diesem Zusammenhang der Hinweis der Behörde, dass (im Fall der mangelnden Umsetzung der gesetzlichen Vorgaben) das Risiko eines Bußgeldes insofern erhöht wäre, da das BayLDA

den ordnungswidrigen Einsatz von Verfahren, mit denen die Nutzereinstellungen zum Schutz vor einer Nutzungsprofilbildung gezielt ausgehebelt werden, verstärkt mit Bußgeldern ahnden.

Der Tätigkeitsbericht befasst sich mit vielen weiteren Thematiken: von Fragen um den betrieblichen Datenschutzbeauftragen (was ist etwa bei einer längeren, krankheitsbedingten Abwesenheit zu tun?), über die Auftragsdatenverarbeitung und Werbung sowie Adresshandel wird eine bunte Palette an Themen behandelt.

Anonymisierte Mobilfunkdaten: Deutsche Telekom unterstützt Verkehrsanalyse

Wie bewegen sich jeden Tag die Menschen in den Städten auf dem Weg zur Arbeit und dem Heimweg? Wie können die Betreiber des öffentlichen Nahverkehrs passgenaue Lösungen für die Anforderungen an den Betrieb des Verkehrsnetzes entwickeln? Mit Hilfe von sog. „Schwarmdaten“ soll nun der öffentliche Nahverkehr in Nürnberg smarter und noch attraktiver für die Fahrgäste. In einem Pilotprojekt nutzt die VAG Verkehrs-Aktiengesellschaft Nürnberg als erstes Verkehrsunternehmen Deutschlands anonymisierte Mobilfunkdaten der Deutschen Telekom, um eine bessere Datenbasis zur Optimierung ihres Verkehrsangebots zu erhalten, wie die Deutsche Telekom heute auf der eigenen Unternehmenswebseite ankündigt.

Welche Daten werden analysiert?
Umfasst von der Analyse sind laut der Deutschen Telekom allein anonymisierte Mobilfunkdaten. Neben den reinen Mobilfunkdaten können noch zusätzlich drei Datenkategorien (Geschlecht, Altersgruppe in 10-Jahresschritten und Heimatregion) von Informationen zu Kunden, sog. CRM-Daten, die ebenfalls nur anonymisiert vorliegen, hinzukommen. Das zugrundeliegende Verfahren zur Anonymisierung der Mobilfunkdaten wurde von der für den Datenschutz bei Telekommunikationsanbietern zuständigen Behörde, der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), eingehend geprüft und als datenschutzkonform bewertet. Auch die mögliche Aggregierung der anonymisierten Mobilfunkdaten mit den anonymisierten CRM-Daten wurde von der BfDI als rechtlich zulässig abgenickt. Bei dem Verfahren wird sichergestellt, dass die anonymisierten Mobilfunkdaten mit anonymisierten CRM-Daten ergänzt werden können, ohne dass dadurch Rückschlüsse auf einzelne Mobilfunknutzer möglich sind.
Laut Informationen der Deutschen Telekom läuft der gesamt Prozess der Anonymisierung in einem eignen Hochsicherheits-Rechenzentrum ab. Personenbezogene Daten werden nicht an Dritte weitergegeben.

Wer analysiert die Daten?
Die so anonymisierten und zusammengefassten Daten werden allein an Motionlogic, ein Tochterunternehmen der Deutschen Telekom, übergeben. Das Unternehmen ist auf Datenanalysen spezialisiert und kann auf der Basis großer Mengen anonymer Daten belastbare Aussagen über Verkehrs- und Bewegungsströme treffen.

Zusätzlicher Service: Opt-out für Kunden (Ausschaltknopf)
Die Deutsche Telekom wird jedoch keine persönlichen Daten von Kunden in das Verfahren einbringen, wenn Kunden dies grundsätzlich nicht möchten. Das Unternehmen stellt seinen Kunden, über die gesetzlichen Vorgaben hinausgehend, die Möglichkeit zur Verfügung, der Nutzung der Kundeninformationen aus den CRM-Daten zu widersprechen.

Dazu hat die Telekom als erster deutscher Mobilfunkanbieter freiwillig und über die gesetzlichen Anforderungen hinaus die Möglichkeit eines sogenannten „Opt-Out“ geschaffen: Kunden können die Nutzung ihrer persönlichen Daten für diesen Zweck jederzeit unterbinden.

Diese Möglichkeit des Opt-out geht deshalb über die gesetzlichen Anforderungen hinaus, da es sich um anonymisierte Daten handelt, welche eigentlich gar nicht in den Schutzbereich der Datenschutzgesetze fallen.
Nach Angaben der Telekom haben Kunden bis zum 01.06.2015 unter www.telekom.de/opt-out die Möglichkeit, ihren Widerspruch auszuüben.

Fazit
Meines Erachtens geht die Telekom hier den richtigen Weg, indem sie öffentlich mit einem datenschutzkonformen Umgang mit Kundendaten wirbt und darauf hinweist, welche zusätzlichen Mechanismen man einführt, um eventuell dennoch bestehenden Bedenken Rechnung zu tragen.

Deutsche Datenschutzbehörden: Mangelnde Umsetzung der Cookie-Richtlinie in Deutschland nicht hinnehmbar

Die Datenschutzbeauftragten des Bundes und der Länder kritisieren die Bundesregierung in einer neu veröffentlichten Entschließung scharf für eine, ihrer Ansicht nach, mangelnde Umsetzung der sog. E-Privacy Richtlinie (oder auch „Cookie-Richtlinie“; Richtlinie 2002/58/EG in der Fassung durch Richtlinie 2009/136/EG).

Nach Art. 5 Abs. 3 der Cookie-Richtlinie müssen die europäischen Mitgliedstaaten sicherstellen,

dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Ziemlich genau vor einem Jahr wurde durch Telemedicus öffentlich bekannt, dass die EU-Kommission jedoch der Ansicht ist, dass die Vorgaben der Cookie-Richtlinie in Deutschland und im TMG umgesetzt wurden.

Die deutschen Behörden treten dieser Ansicht entgegen. Die europarechtlich vorgesehene Einwilligung bereits in den Zugriff auf in den Endgeräten der Nutzer gespeicherte Informationen sei

im deutschen Recht nicht enthalten.

In ihrer Entschließung fordern sie Bundesregierung auf, die E-Privacy-Richtlinie nun ohne weitere Verzögerungen vollständig in das nationale Recht zu überführen.

Der Kollege Adrian Schneider hatte im letzten Jahr die Sach- und Rechtslage in Bezug auf Cookies und eine Einwilligung nach dem deutschen Datenschutzrecht in einem Beitrag bei Telemedicus bereits näher erläutert.

Der Streit um eine (eventuell bereits erfolgte oder nicht erfolgte) Umsetzung der Cookie-Richtlinie in Deutschland, ist damit weiterhin nicht für alle Seiten zufriedenstellend entschieden. Derzeit gilt jedoch wohl weiterhin die Aussage der EU-Kommission und der Bundesregierung, dass eine Umsetzung der europarechtlichen Vorgaben erfolgt ist (auch wenn man die Umsetzung und die Begründung hierfür durchaus kritisch hinterfragen darf).

Neues Urteil des EuGH zur internationalen Zuständigkeit bei Urheberrechtsverletzungen im Internet

Mit Urteil vom 22. Januar 2015 (C-441/13) hat der Europäische Gerichtshof (EuGH) über die Auslegung von Art. 5 Abs. 3 der Verordnung 44/2001 (EuGVVO) zur internationalen Zuständigkeit von Gerichten bei Urheberrechtsverletzungen entschieden, dass im Fall der Geltendmachung einer Verletzung von Urheber? und verwandten Schutzrechten durch die Veröffentlichung von geschützten Lichtbildern auf einer Website, das Gericht zuständig ist, in dessen Bezirk diese Website zugänglich ist.

Sachverhalt
Frau Hejduk (die Klägerin des Ausgangsverfahrens), eine professionelle Architektur-Fotografin und Urheberin von Lichtbildwerken, hatte Bauten des österreichischen Architekten Georg W. Reinberg abgelichtet. Herr Reinberg soll im Rahmen einer von EnergieAgentur (ein deutsches Unternehmen; die Beklagte des Ausgangsverfahrens) veranstalteten Tagung diese Fotografien zur Illustration seiner Bauten verwendet haben, wozu er aufgrund einer Vereinbarung mit Frau Hejduk auch berechtigt war. EnergieAgentur soll jedoch anschließend diese Bilder ohne Zustimmung von Frau Hejduk und ohne Anführung einer Urheberbezeichnung auf ihrer Website (einer deutschen Homepage mit einer „.de“ Kennung) zum Abruf und Download bereitgehalten haben. Frau Hejduk verklagte das Unternehmen nun vor den österreichischen Gerichten, welche dem EuGH die Frage vorlegten, ob sie in dieser Situation überhaupt zuständig seien.

Entscheidung
Der EuGH stellt zunächst fest, dass Art. 5 Abs. 3 EuGVVO grundsätzlich eng auszulegen sei. Es handele sich um eine Ausnahme von dem in Art. 2 Abs. 1 EuGVVO aufgestellten Grundsatz, der die Zuständigkeit den Gerichten des Mitgliedstaats zuweist, in dessen Hoheitsgebiet der Beklagte seinen Wohnsitz hat. Danach führt das Gericht aus, dass nach seiner Rechtsprechung mit der Wendung „Ort, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ in Art. 5 Nr. 3 EuGVVO sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens gemeint ist. Im Ergebnis kann der Beklagte nach Wahl des Klägers vor dem Gericht eines dieser beiden Orte verklagt werden kann.

Daneben muss beachtet werden, dass Urheberrechte zwar einheitlich in Europa in allen Mitgliedstaaten zu schützen sind, dass sie jedoch dem sog. Territorialitätsprinzip unterliegen. Dies bedeutet, dass Urheberrechte in jedem der Mitgliedstaaten nach dem dort anwendbaren materiellen Recht verletzt werden.

Ort des für den Schaden ursächlichen Geschehens
Danach macht sich der EuGH an die genauere Auslegung von Art. 5 Abs. 3 EuGVVO. Zunächst befasst sich der Gerichtshof mit dem zweiten möglichen Anknüpfungspunkt einer gerichtlichen Zuständigkeit, dem Ort des für den Schaden ursächlichen Geschehens. Dieses ist in dem vorliegenden Fall jedoch für die Begründung der Zuständigkeit des österreichischen Gerichts nicht maßgeblich. Denn in einem Fall wie dem des Ausgangsverfahrens, in dem die Verletzung von Urheberrechten durch die ohne Zustimmung des Urhebers erfolgte Veröffentlichung von Lichtbildern auf einer bestimmten Website im Raum steht, ist als das entscheidende „ursächliche Geschehen“ das Auslösen des technischen Vorgangs anzusehen, der zum Erscheinen der Lichtbilder auf dieser Website führt. Der EuGH führt aus, dass eine etwaige Verletzung der Urheberrechte durch das Verhalten des Inhabers dieser Website ausgelöst wird. Hieraus folge, dass das ursächliche Geschehen am Sitz des Unternehmens eintritt (hier: Deutschland) und damit keine Zuständigkeit des angerufenen Gerichts begründet werden konnte.

Ort der Verwirklichung des Schadenserfolgs
Danach prüft das Gericht die zweite Alternative für eine internationale Zuständigkeit, ob nämlich das österreichische Gericht über eine Anknüpfung an die Verwirklichung des geltend gemachten Schadenserfolgs zuständig sein kann. Hierfür muss bestimmt werden, wann ein Schaden in einem anderen Mitgliedstaat als dem verwirklicht oder zu verwirklichen droht, in dem das deutsche Unternehmen die Entscheidung, die Fotografien auf seiner Website zu veröffentlichen, getroffen und durchgeführt hat. Die Klägerin machte geltend, dass ihre Urheberrechte durch die Veröffentlichung ihrer Lichtbilder auf der Website von EnergieAgentur verletzt worden seien.

Der EuGH bestätigt zunächst, dass die von Frau Hejduk geltend gemachten Rechte in Österreich geschützt sind. Das beklagte deutsche Unternehmen führte jedoch in Bezug auf die Gefahr, dass der Schadenserfolg in einem anderen Mitgliedstaat als dem seines Sitzes eintritt, aus, dass seine Website, auf der die streitigen Lichtbilder veröffentlicht worden seien und die unter einem nationalen deutschen Top-Level-Domain-Namen, d. h. „.de“, betrieben werde, nicht auf Österreich ausgerichtet sei, so dass der Schadenserfolg nicht in diesem Mitgliedstaat eingetreten sei.

Diesem Argument stellt sich der EuGH jedoch entgegen. Es ergebe sich aus der Rechtsprechung des Gerichtshofs, dass Art. 5 Nr. 3 EuGVVO nicht verlangt, dass die fragliche Website auf den Mitgliedstaat des angerufenen Gerichts „ausgerichtet“ ist.

Unter Umständen wie denen des Ausgangsverfahrens ergibt sich der Schadenserfolg bzw. die Gefahr seiner Verwirklichung somit daraus, dass die Lichtbilder, an denen die von Frau Hejduk geltend gemachten Rechte bestehen, über die Website von EnergieAgentur in dem Mitgliedstaat des vorlegenden Gerichts zugänglich sind.

(Hervorhebung durch mich)

Zuletzt stellt der Gerichtshof klar, dass das angerufene österreichische Gericht in Anknüpfung an den Ort der Verwirklichung des Schadenserfolgs nur für die Entscheidung über den Schaden zuständig ist, der im Hoheitsgebiet des Mitgliedstaats verursacht worden ist, zu dem es gehört.

EuGH: Öffentliche Videoüberwachung durch Private – nicht per se verboten!

Heute hat der Europäische Gerichtshof (EuGH) sein Urteil in der Sache C-212/13 gesprochen, in der es um die öffentliche Videoüberwachung durch private Personen zum Schutz ihres Lebens, Eigentums und ihrer Familie geht. Eine Darstellung des Sachverhaltes und eine Besprechung der Schlussanträge des Generalanwaltes findet sich hier bei mir im Blog.
Entgegen anderslautenden Einschätzungen, die kurz nach dem Richterspruch bereits durch die Medien geisterten, hat der EuGH die Videoüberwachung jedoch nicht für unzulässig erklärt. Er hat sich in seinem Urteil allein darauf beschränkt festzustellen, dass für die stattfindende Datenverarbeitung durch die die Videokamera betreibende Person, die Vorschriften des europäischen Datenschutzrechts (Richtlinie 95/46/EG) Anwendung finden.

Der EuGH stellt fest:

Soweit sich eine Videoüberwachung wie die im Ausgangsverfahren in Rede stehende auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten auf diese Weise verarbeitet, kann sie nicht als eine ausschließlich „persönliche oder familiäre“ Tätigkeit

angesehen werden.

Damit ist aber noch nichts darüber gesagt, ob die Datenverarbeitung rechtmäßig oder rechtswidrig erfolgt. Dieser Prüfungsschritt schließt sich erst nachfolgend an, nämlich wenn nun feststeht, dass das Datenschutzrecht überhaupt anwendbar ist.

Und diesbezüglich ist der EuGH deutlich:

Zugleich ermöglicht die Anwendung der Bestimmungen der Richtlinie 95/46, gegebenenfalls die berechtigten Interessen des für die Verarbeitung Verantwortlichen insbesondere auf der Grundlage von Art. 7 Buchst. f, Art. 11 Abs. 2 und Art. 13 Abs. 1 Buchst. d und g dieser Richtlinie zu berücksichtigen.

Wenn die Videoüberwachung per se rechtswidrig wäre, dann müsste man auch keine berechtigten Interessen berücksichtigen. Das Gericht stellt zudem fest, dass unter diese „berechtigten Interessen“ des Betreibers der Videokamera unter anderem „der Schutz des Eigentums, der Gesundheit und des Lebens des für die Verarbeitung Verantwortlichen und seiner Familie“ fallen. Ob dies im konkreten Fall zur Rechtmäßig- oder Rechtswidrigkeit der Datenverarbeitung führt, hat nun das nationale Gericht zu entscheiden. Der EuGH deutet auf jeden Fall an, dass es durchaus beachtlichen Auslegungsspielraum dafür gibt, dass die Videoaufzeichnung in diesem Fall rechtmäßig sein kann.

Urheber darf personenbezogene Daten für spätere Gerichtsprozesse speichern

Mit Urteil vom 13.01.2014 (Az.: 1 K 220.12, derzeit leider noch nicht online verfügbar) hat das Verwaltungsgericht (VG) Berlin einen Bescheid des Berliner Datenschutzbeauftragten für rechtswidrig erklärt und aufgehoben. Mit dem Bescheid wurde einem Unternehmen (Klägerin), welches Stadtkarten selbst erstellt oder erworben hatte und diese dann entgeltlich im Internet veröffentlichte, aufgegeben, bei ihm gespeicherte personenbezogene Daten von Mitarbeitern zu löschen, die bei einem Dienstleister angestellt waren, der die Karten für die Klägerin überarbeitete.

Sachverhalt
Die Klägerin verpflichtete den Dienstleister dazu, die Bearbeitungsschritte im einzelnen zu dokumentieren, wozu die jeweiligen Bearbeitungsvorgänge, die eingesetzten Personen mit Namen und die Arbeitszeiten gehörten. Diese Daten wurden bei der Klägerin gespeichert. Hierzu mussten die Mitarbeiter auch eine Erklärung bzw. Einwilligung in die Verarbeitung ihrer Daten unterschreiben. Grund für diese Speicherung war das Interesse der Klägerin, diese Daten bei möglichen zukünftigen Gerichtsverfahren zu präsentieren, um ihre urheberrechtlichen Ansprüche durchzusetzen. Hierzu müsste sie auch ihre Aktivlegitimation, also ihre Urhebereigenschaft, beweisen. Die Datenschutzbehörde sah dies anders und ordnete per Bescheid die Löschung der Daten an. Die Speicherung sei nicht erforderlich, denn eine Vorlage der vertraglichen Vereinbarung zur Rechteübertragung auf die Klägerin sei ausreichend.

Entscheidung
Der Auffassung der Behörde ist das VG nicht gefolgt. Rechtsgrundlage der Speicherung sei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach die Speicherung von personenbezogenen Daten oder ihre Nutzung für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Das berechtigte Interesse der Klägerin bestehe hier darin, die gespeicherten Daten vor Gericht verwenden zu können. Sie habe ein berechtigtes Interesse (welches sich aus § 64 UrhG ergebe) daran, ihre Werke urheberrechtlich effektiv zu schützen. Sie verfolge den legitimen Zweck, vor Gericht den Nachweis ihrer Urhebereigenschaft erbringen zu können. Hierzu hat die Klägerin dem VG auch ein Urteil des Landgericht München I vorgelegt, aus dem hervorging, dass sie den Bearbeitungsprozess der Karten lückenlos dokumentieren muss.

Den Einwand des Berliner Datenschutzbeauftragten, dass ein anonymisierter Zuordnungsnachweis ausreichend sei, lehnte das VG ab. Denn die Zivilgerichte gäben sich mit einer solchen Form der Beweisführung nicht zufrieden. Auch den Einwand, dass die Daten dann zumindest bei dem Dienstleister selbst gespeichert werden sollten, verwarf das Gericht. Zum einen existierte dieser Dienstleister nicht mehr, zum anderen stelle diese Art der Speicherung zwar ein milderes, jedoch kein gleich effektives Mittel zur Interessenwahrung der Klägerin dar. Zuletzt seien die schutzwürdigen Interessen der Betroffenen (Mitarbeiter) vorliegend nicht höher zu gewichten, als das Interesse der Klägerin an der Datenspeicherung. Zwar liege hierdurch ein Eingriff in das Recht auf informationelle Selbstbestimmung vor. Dieser Eingriff sei jedoch zumutbar, wenn man ihn im Vergleich zu den möglichen Rechtsbeeinträchtigungen der Klägerin setze. Denn ohne die Speicherung und mögliche spätere Nutzung könne sie ihr durch Art. 14 GG geschütztes Urheberrecht nicht wahrnehmen und vor Gericht verteidigen.

Eine Anmerkung: interessant an dem Urteil ist, dass das VG mit keinem Wort auf die, durch die Mitarbeiter, erteilte Einwilligung eingeht, welche ja eventuell auch als Rechtsgrundlage der Verarbeitung hätte dienen können. Vielleicht wollte sich das Gericht nicht mit einer Wirksamkeitsprüfung aufhalten und hat daher direkt den gesetzlichen Erlaubnistatbestand herangezogen.

High Court of Berlin: Facebook is subject to German data protection law

On 24 January 2014, the High Court of Berlin upheld a ruling of the District Court of Berlin from 6 March 2012, according to which Facebook is subject to German and not Irish data protection law (the PM and the decision in German can be found here). The proceeding was initiated by the Federation of German Consumer Organisations (VZBV) and mainly dealt with the legality of the friend-finder feature in the social network.

I will only summarize the relevant aspects of the ruling having regard to the question of the applicable data protection law. The key provision for the answer, which national data protection law has to be applied to a processing of personal data in the EU, can be found in Art. 4 of Directive 1995/46/EC („DPD“). Of course, the Court primarily takes into account the relevant national provision of the German Federal Data Protection Act, § 1 (5), but also makes clear that these national provisions have to be interpreted in accordance with the DPD. The High Court at first describes the general principles of these provisions and rightly clarifies that Art. 4 DPD has to be regarded as part of the core elements of the DPD. It furthermore lays down the two possibilities foreseen in Art. 4 (1) DPD, to examine the relevant data protection law. That is

  • According to Art. 4 (1) (a) DPD, the national law of that Member State, where the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; or
  • According to Art. 4 (1) (c) DPD, if the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.

These two possible connecting factors ((1) if the relevant controller is established in the EU OR (2) if the relevant controller is established outside the EU and makes use of equipment within a Member State) are the bases for the first part of the Court’s decision.

According to the ruling, Facebook Inc. in America and not Facebook Ireland has to be regarded as the competent controller for the processing of personal data of German users. So in the Court’s view, the controller is not established in the EU and therefore Art. 4 (1) (c) DPD has to be applied. Facebook Inc. uses Cookies to process personal data of German users. In accordance with the view taken by the Art. 29 Working Party (WP 179, p. 21), the Court considers the placing of Cookies on the PC of a user and the processing of personal data via these Cookies as „making use of equipment“.

In a next step the Court examines, if perhaps nevertheless the relevant establishment for the processing of personal data could in fact be Facebook Ireland. As a consequence, Art. 4 (1) (a) DPD and Irish data protection law would apply to the data processing. This is exactly the view taken by the Higher Administrative Court of Schleswig-Holstein in its ruling from 22 April 2013. The Higher Administrative Court found that only Facebook Ireland can be qualified as the controller for the processing of personal data by German users.

However, the High Court of Berlin does not agree to this finding. According to the Court, Facebook did not sufficiently prove that its establishment in Ireland really determines the means and purposes of the relevant processing operations. In the Court’s view, Facebook Ireland does not effectively and actually exercise the processing operations under consideration. Facebook contended that the establishment in Ireland is the single contractual partner of users outside of North America. But this alone did not convince the Court to qualify Facebook Ireland as the relevant establishment in the sense of Art. 4 (1) (a) DPD. Especially an actual decisive power by Facebook Ireland would be missing. In the Court’s view, the contractual powers of Facebook Ireland towards its parent company in America are displaced by the corporate law competences of Facebook Inc.

The second (and alternative) base of the decision is the recognition of the possibility of a free choice of data protection law. The Court refers to the terms of use of the German Facebook site, where it states that „this statement is subject to German law“. The Court considers this choice of law not only to affect the applicable contract law, but also to encompass data protection law. In the view of the Court, the German Federal Data Protection Act consists of public law as well as private law provisions. With regard to the private law provisions, a choice of law would be possible.
In my opinion, a choice of law is not possible having regard to data protection law. Art. 4 (1) DPD and the relevant national transpositions should be qualified as overriding mandatory rules in the sense of Art. 9 Rom I Regulation or Art. 16 Rom II Regulation. This is also the view, taken by the Higher Administrative Court of Schleswig-Holstein. Unfortunately, the High Court of Berlin does not mention the Rom I or II Regulations. Also the Art. 29 Working Party, in its opinion on apps (WP 202), made clear that „It is important for app developers to know that both directives are imperative laws in [a way; comment by author] that the individual’s rights are non-transferable and not subject to contractual waiver. This means that the applicability or European privacy law cannot be excluded by a unilateral declaration or contractual agreement“ (page 8).

After the decision by the High Court of Berlin, we now face two deviating decisions by High Courts in Germany on the question of the applicable data protection law regarding Facebook and the question of a free choice of data protection law. One has to await, if Facebook proceeds against the decision of the High Court of Berlin.

Das Grundrecht auf Datenschutz in Europa

Im Zuge der Enthüllungen in der NSA-Affäre und den andauernden Verhandlungen für eine Reform des europäischen Datenschutzrechts wird häufig darauf verwiesen, dass der Schutz personenbezogener Daten in Europa ein Grundrecht darstellt (so etwa die EU Justizkommissarin Viviane Reding in einem Interview). Nachfolgend möchte ich darauf eingehen, wo dieses Grundrecht auf Datenschutz gesetzlich festgeschrieben und wie es tatsächlich ausgestaltet ist. Dazu beschränke ich mich jedoch auf die Ebene der EU und des Europarates (zu weiteren internationalen Datenschutzabkommen hatte ich bereits einmal etwas geschrieben).

A. Europäische Menschenrechtskonvention

Auf der supranationalen Ebene des Europarats, dem sowohl alle europäischen Mitgliedstaaten, aber auch andere Nationen wie die Türkei oder Russland angehören, garantiert die Europäische Menschenrechtskonvention (EMRK) Personen, welche der Hoheitsgewalt der einzelnen Mitgliedstaaten unterliegen, gewisse Grundrechte und –freiheiten.
Continue reading