Hessischer Datenschutzbeauftragter: Dynamische IP-Adresse ist nicht per se ein personenbezogenes Datum

Heute hat der Hessische Landesdatenschutzbeauftragte, Prof. Ronellenfitsch, seinen Tätigkeitsbericht für das Jahr 2014 vorgestellt.

Unter anderem behandelt der Tätigkeitsbericht ein Prüfverfahren hinsichtlich der „Fraport App“, die von der Fraport AG als eine Hilfe für Flugreisende und andere Besucher des Flughafens in Frankfurt am Main angeboten wird. Mit der App ist es u.a. möglich, sich den eigenen Standort auf dem Flughafen anzeigen zu lassen. Beabsichtigt war zunächst, mobile Geräte durch auf dem Gelände verteilte WLAN-Hotspots mit MAC- und IP-Adressen zu erfassen, sofern ihre WLAN-Schnittstelle aktiv war.

Der Datenschutzbeauftragte stellt in seinem Bericht drei Szenarien dar, wie die MAC- und IP-Adresse von Besuchern des Flughafens über WLAN-Hotspots erhoben werden können. Hierzu gehört gerade auch die Situation, dass die Fraport App nicht auf einem Gerät installiert ist und genutzt wird, sondern Besucher sich direkt mit einem WLAN-Hotspot verbinden. Dann bekommt der Nutzer eine dynamische IP-Adresse zugeteilt. Die Erfassung der dynamischen IP-Adresse stellt nach Auffassung des hessischen Datenschutzbeauftragten

kein datenschutzrechtliches Problem dar.

Diese Ansicht dürfte einige Beobachter zumindest überraschen. Denn eigentlich gehen die deutschen Datenschutzbehörden schon lange und beständig davon aus, dass IP-Adressen grundsätzlich einen Personenbezug aufweisen (vgl. etwa die Orientierungshilfe des Düsseldorfer Kreises zu Apps, PDF) und bei ihrem Umgang daher die Vorgaben des Datenschutzrechts zu beachten sind (z.B. Informationen zum Datenumgang bereitstellen oder eine Rechtsgrundlage für die Verarbeitung der IP-Adresse vorweisen zu können). Erst kürzlich hat etwa die bayerische Aufsichtsbehörde klargestellt, dass jeder Webseiten- oder App-Betreiber aufgrund des Personenbezugs von IP-Adressen eine Datenschutzerklärung vorhalten muss, um über den Umgang mit der IP-Adresse aufzuklären (hierzu mein Beitrag).

Die Auffassung des hessischen Landesdatenschützers scheint (erfreulicherweise) nun zumindest aber von einer pauschalen „Vorverurteilung“ einer IP-Adresse als personenbezogenes oder personenbeziehbares Datum abzurücken.

In seinem Tätigkeitsbericht führt der Landesdatenschützer aus, dass WLAN-Netzwerkbetreiber eine unmittelbare Identifikation anhand der IP-Adresse grundsätzlich nur bei statischen IP-Adressen vornehmen können. Die am Flughafen Frankfurt bereitgestellten WLAN-Hotspots werden aber über die Vergabe von dynamischen IP-Adressen betrieben.

Der Landesdatenschutzbeauftragte:

Eine Identifikation ist nur möglich, wenn die Nutzer während einer Sitzung selbst personenbezogene oder personenbeziehbare Daten hinterlassen. Dies ist nach den vorliegenden Dokumenten nicht der Fall. Deshalb sind dynamische IP-Adressen in diesem Szenario keine personenbeziehbaren Daten.

Die Auffassung des Landesdatenschützers verdient Zustimmung. Zum einen, weil sie von einer pauschalen Einordnung von IP-Adressen als personenbezogenes oder –beziehbares Daten abrückt. Zum anderen, weil sie eben gerade auf den Kontext und die konkrete Situation abstellt. Natürlich kann sich eine IP-Adresse zu einem personenbezogenen Datum „verwandeln“, wenn zu ihr personenbezogene Daten hinzugespeichert werden (z. B. wenn der Nutzer weitere Informationen eingibt). Dann muss selbstverständlich auch das Datenschutzrecht für den Umgang mit der IP-Adresse gelten.

EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

  1. Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
  2. Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Cookie-Richtlinie in Deutschland doch nicht umgesetzt?

Es ist eine Neverending Story. Die Frage der (Nicht-)Umsetzung der sog. Cookie-Richtlinie (RL 2002/58/ EG, in der Fassung der RL 2009/136/EG) in Deutschland.

Im Februar 2015 kritisierten die deutschen Datenschutzbehörden die Bundesregierung wegen einer, ihrer Ansicht nach, mangelnden Umsetzung der europäischen Vorgaben im deutschen Recht (hierzu mein Blogbeitrag). Das Erfordernis der vorherigen Einwilligung nach Art. 5 Abs. 3 Cookie-Richtlinie sei nach Ansicht der Behörden im deutschen Datenschutzrecht (namentlich im TMG) nicht richtlinienkonform implementiert.

Ganz anders sah dies sowohl die Europäische Kommission und auch das Bundeswirtschaftsministerium. Im Februar 2014 erhielten die Kollegen bei Telemedicus die Information, dass die Cookie-Richtlinie sehrwohl umgesetzt sei. Über die Ungereimtheiten berichtete der Kollege Adrian Schneider.

Nun ist eine aus dem Januar 2015 stammende Studie für die Europäische Kommission zur Umsetzung der Cookie-Richtlinie in den Mitgliedstaaten veröffentlicht worden (PDF). Die Aussage dort:

When looking at the way Article 5.3 has been transposed by the Member States, a first observation to make is that this provision has not been transposed by the German legislature.

Also doch keine Umsetzung in Deutschland? Dieses Hin und Her um die Cookie-Richtlinie grenzt schon langsam an ein komödiantisches Schauspiel, wenn es dabei nicht um für die Internetwirtschaft durchaus wichtige Fragen gehen würde.

Verhältnis zur geplanten Datenschutz-Grundverordnung
Die erwähnte Studie befasst sich daneben auch mit der Frage, in welchem Verhältnis die Vorgaben der Cookie-Richtlinie zu der geplanten Datenschutz-Grundverordnung (DS-GV) stehen werden. Im Mai 2015 hatte ich bereits berichtet, dass die Europäische Kommission davon auszugehen scheint, dass die Cookie-Richtlinie (in ihrem Anwendungsbereich) der DS-GVO als Spezialgesetz (lex specialis) vorgeht.

Diese Auffassung scheint auch die veröffentlichte Studie zu stützen (ab S. 112). Jedoch wird dort darauf hingewiesen, dass eine EU-Richtlinie die zukünftige DS-GVO als EU-Verordnung nicht detaillieren oder ergänzen kann. Denn die Verordnung steht als Rechtsakt sozusagen über der Richtlinie. Aus diesem Grund soll auch durch die DS-GVO, in Art. 89 vorgeschrieben werden, dass Art. 1 Abs. 2 der Cookie-Richtlinie gestrichen wird. Dieser besagt:

Die Bestimmungen dieser Richtlinie stellen eine Detaillierung und Ergänzung der Richtlinie 95/46/EG…dar.

Eine solche Detaillierung der DS-GVO durch die Cookie-Richtlinie ist jedoch nicht möglich. Mitgliedstaaten könnten nicht durch Vorgaben einer Richtlinie dazu verpflichtet werden, von den Regelungen einer Verordnung abzuweichen. Aufgrund dessen auch die Streichung in der Cookie-Richtlinie.

Für die Zukunft schlägt die Studie vor, dass die Cookie-Richtlinie in eine Verordnung umgewandelt wird. Dies könnte das Zusammenspiel der beiden Instrumente vereinfachen, da sie dann auf einer gesetzlichen Ebene stehen.

Datenschutzbehörde: Jede Webseite und Online-App benötigt eine Datenschutzerklärung

Jedem Webseitenbetreiber oder App-Anbieter dürfte heutzutage klar sein, dass zu einem rechtskonformen Angebot auch eine Datenschutzerklärung gehört. Also ein Hinweis und Informationen darüber, wie personenbezogene Daten verwendet werden. Für die Nutzung von Analysediensten oder das Angebot von Newslettern dürfte dies sofort einleuchten. Dort wird aus der Sicht des Anbieters aktiv mit personenbezogenen Daten umgegangen. Doch wie sieht es aus, wenn man „nur“ eine Webseite betreibt. Ohne Analysedienst, ohne Newsletter, ohne Bestellmöglichkeit?

Indirekt hat sich zu dieser Frage das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) (die Aufsichtsbehörde für den nicht-öffentlichen Bereich) in ihrem Tätigkeitsbericht für 2013/2014 (PDF) geäußert. Mit nicht zu unterschätzenden Folgen für die Praxis und jeden, der eine Online-App oder Internetseite betreibt.

Die allgemeine Informationspflicht im TMG
Nach § 13 Abs. 1 S. 1 TMG gehört zu der Informationspflicht eines Webseiten- oder App-Betreibers, dass er Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten … in allgemein verständlicher Form“ unterrichtet. Soweit so gut. Werden also personenbezogene Daten verarbeitet, muss hierüber unterrichtet werden.

Die Neverending Story: IP-Adresse
Nun gilt es jedoch zu beachten, dass insbesondere die Aufsichtsbehörden die IP-Adresse als personenbezogenes Datum i. S. d. § 3 Abs. 1 BDSG ansehen (hierauf verweist auch das BayLDA, S. 56). Diese Ansicht ist freilich nicht unumstritten, wird aber von den Behörden (i.Ü. auch einigen Gerichten und Ansichten in der juristischen Literatur) so vertreten. Nun muss man sich jedoch gleichzeitig vergegenwärtigen, dass die Erhebung und eventuell auch Verwendung der IP-Adresse eines Endgerätes als technische Steuerungsinformation zur Übertragung von Informationen im Internet zwischen dem Diensteanbieter und seinem Nutzer schlicht erforderlich ist. Sie dient als Ziel von Datenpaketen. Um im Netz zu kommunizieren, bedarf es also einer IP-Adresse.

Hinweise in der Datenschutzerklärung erforderlich
Man ahnt was nun folgt. Das BayLDA weist nun (konsequent) in seinem Tätigkeitsbericht darauf hin, dass sich

jeder Diensteanbieter … mit der Thematik einer Datenschutzerklärung im Internetauftritt bzw. in der mobilen (Online-)Applikation zu beschäftigen hat, selbst wenn ein Nutzer nicht aktiv Daten eingeben kann und auch keine Cookies o. ä. Verfahren genutzt werden.

Nach dem BayLDA muss daher eine Datenschutzerklärung zumindest zu der Erhebung und möglichen Verwendung der IP-Adresse (etwa einer Speicherung in den Log-Dateien) selbst dann entsprechende Informationen beinhalten, wenn ansonsten keine personenbezogenen Daten erhoben oder genutzt werden. Kurz gesagt: jede Internetseite oder (Online-)App bedarf zumindest einer „Mini-Datenschutzerklärung“ mit Blick auf die IP-Adresse.

Mögliche Folgen bei Nichtbeachtung
Was geschieht, wenn man diese Hinweise der Behörde nicht beachtet? Möglicherweise nichts. Zumindest solange eine Datenschutzbehörde auf das Fehlen der Datenschutzerklärung nicht aufmerksam (gemacht) wird. Nach dem Gesetz handelt es sich bei einem fehlenden oder aber fehlerhaften Hinweis zum Umgang mit personenbezogenen Daten jedoch grundsätzlich um eine Ordnungswidrigkeit. Das BayLDA weißt in seinem Tätigkeitsbericht darauf hin, dass gem. § 16 Abs. 2 Nr. 2 TMG eine Ordnungswidrigkeit begeht, wer entgegen § 13 Abs. 1 S. 1 oder 2 TMG den Nutzer vorsätzlich oder fahrlässig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig informiert.

Zudem besteht das theoretische Risiko, von Wettbewerbern abgemahnt zu werden. Das Oberlandesgericht Hamburg hat bereits 2013 (Az. 3 U 26/12) entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs erteilt (hierzu mein Blogbeitrag).

Fazit
Potential für eine Abmahnwelle? Ich denke nicht. Auch wenn die Auffassung des BayLDA, bei Annahme des Personenbezugs der IP-Adresse von einer Informationspflicht auszugehen, konsequent erscheint, so existieren ebenfalls veritable Gegenauffassungen, die eine IP-Adresse nicht generell als personenbezogen einstufen. Zudem hatte ich erst letzte Woche im Rahmen der Abmahnung wegen Verwendung des Like-Buttons auf Webseiten darauf hingewiesen, dass absolut datenschutzrechtlich konformes Handeln heutzutage im Internet nur schwer erreichbar ist. Dies gilt im Zweifel auch für einen abmahnenden Wettbewerber.

Unabhängig hiervon fragt man sich freilich, was diese Information am Ende dem Webseitenbesucher oder App-Nutzer an Mehrwert und mit Blick auf den Schutz personenbezogener Daten tatsächlich bringt? Die Aussage ist z. B. allein: „Die IP-Adresse wird erhoben und auf unseren Servern gespeichert, weil es aufgrund der technischen Gegebenheiten des Internets einfach nicht anders geht“. Ein Gewinn an informationeller Selbstbestimmung geht damit meines Erachtens nicht einher. Außer die Alternative, Offline zu bleiben. Datenschutz im Jahre 2015.

Europäische Datenschutzbehörden fordern mehr Mittel und praxistaugliche Gesetze

Vom 18. – 20. Mai 2015 trafen sich Vertreter der Datenschutzbehörden der EU-Mitgliedstaaten und des Europarates zu einer Frühjahrskonferenz in Manchester. Diskutiert wurde über Themen von gemeinsamem Interesse. Besonders im Vordergrund stand dieses Jahr die mangelnde finanzielle als auch personelle Ausstattung staatlicher Aufsichtsbehörden und ihre Wahrnehmung in der Öffentlichkeit.

Die Vertreter der Datenschutzbehörden verabschiedeten vor diesem Hintergrund eine Resolution („Meeting data protection expectations in the digital future“, PDF), die sich eindringlich an die Mitgliedstaaten wendet und für die Tätigkeit der Aufsichtsbehörden, vor allem die Kontrolle und Durchsetzung des Grundrechts auf Schutz personenbezogener Daten in Europa, mehr finanzielle und personelle Mittel verlangt. Andernfalls könnten die Datenschützer die ihnen obliegenden Aufgaben nicht mehr wahrnehmen.

Forderung nach mehr Mitteln
Direkt an die europäischen Regierungen wendet sich die Forderung der Datenschützer, sicherzustellen, dass die finanzielle Unterstützung der Behörden ausreicht, um die weiter an ihre Arbeit gestiegenen Anforderungen erfüllen zu können. Hierzu gehöre auch eine Förderung der internationalen Zusammenarbeit von Behörden, wobei die Unabhängigkeit der Aufsichtsstellen nicht gefährdet werden dürfe. Die Datenschützer verweisen zur Untermauerung ihrer Forderung auf drei Urteile des Gerichtshofs der Europäischen Union (C-518/07; C-614/10; C-288/12), in denen die Unabhängigkeit und die finanzielle und personelle Ausstattung der Behörden als erforderliches Mittel zur Gewährleistung des Datenschutzes in Europa als Grundrecht bekräftigt wurde.

Einfaches Datenschutzrecht
Zudem wenden sich die Datenschützer an den europäischen Gesetzgeber. Dieser müsse sicherstellen, dass die nächste Generation von Datenschutzgesetzen in einer klaren und einfachen Sprache verfasst werden, so dass sie von denjenigen Adressaten verstanden und auch umgesetzt werden können, für die sich gedacht sind: Unternehmen, Betroffene und Aufsichtsbehörden. Nur so könne ein hohes Datenschutzniveau auch in der Praxis tatsächlich durchgesetzt werden.

Gesetzentwurf: Grüne wollen Schufa und Co. strenger regulieren

Die Fraktion BÜNDNIS 90/DIE GRÜNEN hat im Bundestag ein Gesetz zur „Verbesserung der Transparenz und der Bedingungen beim Scoring (Scoringänderungsgesetz, PDF)“ eingebracht. Mit diesem Gesetz zur Änderung verschiedener Vorgaben des Bundesdatenschutzgesetzes (BDSG) möchte die Fraktion laut der Gesetzesbegründung

„insbesondere die Transparenz des statistischen Analyseverfahrens beim Scoring“

grundlegend verbessern werden.

Die Ausgangslage
Der Gesetzesentwurf referenziert unter anderem auf eine Studie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der GP Forschungsgruppe aus dem Jahre 2014. Beeinflusst ist der Gesetzesentwurf freilich auch durch ein Urteil des Bundesgerichtshofs (BGH) aus dem Jahre 2014 (VI ZR 156/13), in dem es um den Auskunftsanspruch von Prsonen gegenüber der SCHUFA ging und das Gericht entschied, dass

die sogenannte Scoreformel, also die abstrakte Methode der Scorewert berechnung

der Auskunft suchenden Person nicht mitzuteilen ist. Ebenso wenig erstrecke sich der Auskunftsanspruch auf solche Inhalte der Scoreformel, die als Geschäftsgeheimnisse schützenswert sind.

Der Gesetzesentwurf
Nachfolgend möchte ich knapp auf einige Änderungsvorschlage des Gesetzesentwurfs eingehen.

Es soll eine generelle Pflicht der Vorabkontrolle beim Angebot von Scoringverfahren eingefügt werden (§ 4d Abs. 5 S. 2 BDSG-E). Diese Pflicht soll, anders als die bestehende Vorabkontrollverpflichtung, unabhängig davon bestehen, ob eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Zuständig für die Vorabkontrollen ist innerhalb von Unternehmen, wie auch jetzt, der Datenschutzbeauftragte.

Die Informationspflichten im Rahmen der Meldepflicht (und damit des Verfahrensverzeichnisses) sollen um einen neuen Punkt erweitert werden (§ 4e Abs. 1 Nr. 10 BDSG-E). Nach der Nr. 10 sollen im Fall des Scoring „eine Beschreibung des wissenschaftlich anerkannten mathematischstatistischen Verfahrens sowie Angaben zu § 28b Nummer 4“ erfolgen. Nach dem Gesetzesentwurf liegt der Zweck der Meldung darin, die eine Prüfung der Zulässigkeit der beabsichtigten Verfahren zu ermöglichen. Nicht erwähnt wird in dem Entwurf jedoch eine Anpassung von § 4g Abs. 2 S. 2 BDSG, wonach der Datenschutzbeauftragte nur die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar machen muss. Informationen zum anerkannten mathematischstatistischen Verfahren sollen also nicht im öffentlichen Verfahrensverzeichnis erwähnt werden.

Natürlich soll auch der § 28b BDSG geändert werden, der derzeit die Zulässigkeit von Scoring-Verfahren regelt. § 28 BDSG gibt vor, was zur Berechnung des Wahrscheinlichkeitswertes genutzt und nicht genutzt werden darf. Nach dem neuen § 28b Abs. 1 Nr. 4 BDSG-E darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn

für die Berechnung des Wahrscheinlichkeitswerts zum Zwecke der Bonität keine Anschriftendaten, Daten aus sozialen Netzwerken, Daten aus Internetforen, Angaben zur Staatsangehörigkeit, zum Geschlecht, zu einer Behinderung oder Daten nach § 3 Absatz 9 genutzt werden.

Explizit soll also eine Verwendung von besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) ebenso ausgeschlossen werden, wie ein Rückgriff auf Informationen aus „sozialen Netzwerken“ und „Internetforen“. Der Praktiker wird sich fragen: Was ist damit gemeint? Die Begründung definiert „Soziale Netzwerke“ und “Internetforen“ als

Plattformen, auf denen z.B. Kontakte, Meinungen, Interessen und das Einkaufsverhalten der betroffenen Personen mitgeteilt werden.

Plattformen auf denen Meinungen und Interessen mitgeteilt werden. Man möchte sich gar nicht ausmalen, was man (bei einer weiten Auslegung) alles hierunter fassen könnte.

Zudem soll eine neue § 28b Abs. 1 Nr. 5 BDSG-E eingefügt werden. Die Verwendung des Wahrscheinlichkeitswertes wird davon abhängig gemacht, dass

der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung seiner Daten schriftlich unterrichtet worden ist. Die Unterrichtung ist zu dokumentieren. Soll die Unterrichtung zusammen mit anderen Erklärungen erfolgen, ist sie besonders hervorzuheben.

Dies bedeutet: bevor überhaupt irgendeine Datenverarbeitung hinsichtlich des Wahrscheinlichkeitswertes beginnen kann, muss der Betroffene schriftlich(!) informiert werden. Dies soll auch innerhalb von AGB möglich sein, jedoch dann deutlich hervorgehoben. Hier grüßt meines Erachtens der Medienbruch. Denn in dem bisher geltenden § 28b Nr. 4 BDSG ist auch allein von „Unterrichtung“ die Rede. Schriftlich muss diese nicht erfolgen.

Zudem soll ein neuer § 28b Abs. 2 BDSG-E vorgeben, dass das wissenschaftlich anerkannte mathematisch-statistische Verfahren muss dem Stand der Wissenschaft und Forschung entsprechen muss. Wie genau dieser Stand aussieht, dies überlässt der Gesetzesentwurf der Bundesregierung, die hierzu durch eine Rechtsverordnung mit Zustimmung des Bundesrats Vorgaben machen kann.

Auch die Weite des Auskunftsanspruchs soll vergrößert werden. Nach dem neuen § 34 Abs. 2 S. 1 Nr. 2 BDSG-E ist Auskunft zu erteilen, über

die verwendeten Einzeldaten, die Gewichtung der verwendeten Daten, die verwendeten Vergleichsgruppen und die Zuordnung der betroffenen Personen zu den Vergleichsgruppen, die in die Berechnung des Wahrscheinlichkeitswerts einfließen.

Ein solcher Umfang des Auskunftsanspruches ist derzeit nicht vorgesehen.
U
nd noch eine weitere wichtige Änderung soll im Rahmen des Auskunftsanspruchs geregelt werden. § 34 Abs. 2 S. 2 BDSG-E sieht vor, dass der Zugang zu diesen Informationen nicht

unter Berufung auf das Betriebs- und Geschäftsgeheimnis abgelehnt werden“

kann. Diese Änderung referenziert direkt auf das oben erwähnte Urteil des BGH, mit dem die Verfasser des Gesetzentwurfs nicht einverstanden sind und folglich eine gesetzgeberische Anpassung vorschlagen. Interessant ist folgende Klarstellung in der Gesetzesbegründung:

Verlangt werden kann nicht die Offenlegung … des zugrunde liegenden Algorithmus.

Ein berechtigtes Geheimhaltungsinteresse der Unternehmen erkennt der Gesetzesentwurf nicht an. Auch ein unzulässiger Eingriff in das Grundrecht auf Berufsfreiheit in Art. 12 Abs. 1 GG der Scoring-Verwender lehnt die Gesetzesbegründung ab.

Der Gesetzesentwurf sieht noch weitere Änderungen vor. Unter anderem soll eine jährliche Auskunftspflicht (!) der Auskunfteien eingeführt werden.

Zudem soll eine Pflicht für die zuständigen Landesdatenschutzbehörden eingeführt werden, Unternehmen, die Scoring-Verfahren verwenden, mindestens einmal jährlich zu kontrollieren (§ 38 Abs. 1 S. 2 BDSG-E). Hierbei handelt es sich um eine „Sollpflichtprüfung“. Dies bedeutet, dass die Aufsichtsbehörden grundsätzlich prüfen müssen, es sei denn es liegen besondere Umstände vor. Bei der derzeitigen Ausstattung (finanziell als auch personell) der Behörden, darf man sich doch die Frage stellen, inwieweit eine solche Pflicht eventuell weite Teile einer Behörde binden und damit lähmen könnte. Denn eine Prüfung sollte wenn sie denn schon durchgeführt wird doch umfassend erfolgen und nicht etwa als eine Art „Feigenblatt“ dienen. Dies erfordert dann aber auch einigen Einsatz an Personal und Zeit.

Fazit
Es bleibt abzuwarten, inwieweit der vorliegende Gesetzesentwurf im Gesetzgebungsverfahren noch Änderungen erfahren wird und ob sich die Opposition hier gegenüber der Koalition durchsetzen kann. Zudem muss freilich auf die sich bereits abzeichnende Einigung bei der Datenschutz-Grundverordnung hingewiesen werden, die dann Gesetzesnormen schafft, die den hier entstehenden Regelungen grundsätzlich vorgehen.

Gericht: Namen und Kontaktdaten von Amtsmitarbeitern dürfen nicht im Internet veröffentlicht werden

Der Bayerische Verwaltungsgerichtshof hat mit Urteil vom 25.03.2015 (Az. 5 B 14.2164) entschieden, dass personenbezogene Daten von Behördenmitarbeitern (etwa Name, Telefon- und Faxnummer) nicht einfach öffentlich im Internet von Dritten zum Abruf bereitgehalten werden dürfen. Es fehle diesbezüglich an einem berechtigten Interesse des Veröffentlichenden und auch das schutzwürdige Interesse des Betroffenen würde, wenn die Informationen ansonsten nicht öffentlich verfügbar sind, überwiegen.

Der Fall
Eine kommunale Wählervereinigung in der Rechtsform eines eingetragenen Vereins, deren Zweck die Teilnahme an Kommunalwahlen ist, wendete sich gegen eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (LDA) zur Löschung personenbezogener Daten. Grundlage dieser verwaltungsrechtlichen Anordnung gegen den Verein war, dass dieser auf seiner Homepage den E-Mail-Verkehr zwischen dem Vorstand und einer Angestellten im öffentlichen Dienst im Bürgerbüro des Umweltministeriums veröffentlichte. In der von dem Verein veröffentlichten Adresszeile und in der Signatur der E-Mails waren der Anfangsbuchstabe des Vornamens der Angestellten, ihr Nachname, ihre dienstliche E-Mailadresse, die um die letzten beiden Ziffern gekürzte Telefonnummer, die dienstliche Faxnummer und die Dienstadresse angegeben.

Die Entscheidung
Das Gericht entschied, dass sich der Kläger nicht auf das sogenannte Medienprivileg nach § 41 BDSG berufen kann und dass auch sonst keine Rechtsvorschrift ersichtlich sei, die die Nennung personenbezogener Daten Dritter auf der Homepage erlauben würde.

Veröffentlichung der Daten
Nach Ansicht des Gerichts wurden durch die Veröffentlichung des Mail-Verkehrs und der darin enthaltenen Informationen auf der Homepage die personenbezogenen Daten der Behördenmitarbeiterin in der Weise verarbeitet, das Dritte diese Daten einsehen oder abrufen konnten. Damit lag nach Auffassung des Gerichts eine Datenübermittlung nach § 3 Abs. 4 S. 2 Nr. 3 b) BDSG vor. Was das Gericht hier jedoch unbeachtet lässt ist, dass nach dem Gesetz diese Daten auch tatsächlich eingesehen oder abgerufen werden müssen („einsieht oder abruft“). Im Ergebnis liegt freilich dennoch eine Datenverarbeitung vor, sei es als Speicherung (§ 3 Abs. 4 S. 2 Nr. 1 BDSG) oder in der Form der Weitergabe (§ 3 Abs. 4 S. 2 Nr. 3 a) BDSG), denn für die Weitergabe reicht die Möglichkeit der Kenntnisnahme der Informationen durch einen Dritten aus. Mit Blick auf die Veröffentlichung von Daten auf einer Internetseite entscheid dies der EuGH im Jahre 2003 (C-101/01) noch anders, wobei dieser Entscheidung wohl auch andere Erwägungen zugrundlagen. In der Google-Entscheidung (C-131/12) ging der EuGH jüngst relativ unproblematisch davon aus, dass die Darstellung von Ergebnislisten mit personenbezogenen Daten im Internet eine Weitergabe dieser Daten an Dritte darstellt.

Kein Medienprivileg
Der Verein brachte zu seiner Verteidigung unter anderem vor, dass sein Handeln unter das sog. Medienprivileg (§ 41 BDSG) fallen würde und er daher die Vorgaben des BDSG weitestgehend nicht zu beachten habe. Nach § 41 BDSG werden Unternehmen oder Hilfsunternehmen der Presse von den Bestimmungen des BDSG weitgehend freigestellt, soweit sie personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken erheben, verarbeiten oder nutzen. Dieser Auffassung folgte das Gericht nicht:

Bei der vom Kläger durch seinen Vorstand betriebenen Webseite handelt es sich, wie ein Blick auf den in der Satzung des Vereins beschriebenen Vereinszweck eindeutig zeigt, nicht um eine Tätigkeit im Pressewesen, sondern um eine Tätigkeit in der kommunalen Parteipolitik.

Das Berichten zu einem bestimmten politischen Thema auf der Homepage über eigene Aktivitäten sei für den Verein daher nicht Zweck, sondern nur das Mittel zum eigentlichen Zweck des politisch tätigen Vereins gewesen. Einer Verarbeitung von Daten zu ausschließlich journalistisch-redaktionellen Zwecken fand daher nicht statt.

Auch hier könnte man die Wertung des Gerichts zumindest kritisch hinterfragen. Die im Datenschutzrecht vorgesehene Privilegierung von Datenverarbeitungen für ausschließlich journalistische Zwecke ist nämlich durchaus nicht im Sinne klassischer Pressearbeit zu verstehen. So hat bereits der EuGH festgestellt (C-73/07), dass Handlungen als journalistische Tätigkeiten eingestuft werden können,

wenn sie zum Zweck haben, Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten. Journalistische Tätigkeiten sind nicht Medienunternehmen vorbehalten und können mit der Absicht verbunden sein, Gewinn zu erzielen.

Der EuGH legt die das Medienprivileg also durchaus weit aus. Dies ändert freilich nichts an der Voraussetzung, die Datenverarbeitung ausschließlich zu einem journalistischen Zweck, wie etwa die Verbreitung von Meinungen, vorzunehmen.

Keine gesetzliche Erlaubnis
Damit war klar, dass die Datenverarbeitung vollumfänglich in den Anwendungsbereich des BDSG fiel. Nach § 4 Abs. 1 BDSG war somit eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen erforderlich. Eine Einwilligung lag freilich nicht vor. Auch § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach das Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, konnte vorliegend nicht zu einer Rechtmäßigkeit der Verarbeitung führen.

Das Gericht verneinte bereits das Vorliegen eines Interesses des Vereins, den Namen und die Kontaktdaten der Betroffenen konkret zu benennen. Eine solche Einschätzung hängt freilich immer sehr stark von den Umständen des Einzelfalls ab. Vorliegend besaß die Betroffene ersichtlich keine sachbearbeitende oder sonstwie herausgehobene Funktion. Sie hatte lediglich Fachinformationen von der zuständigen Fachabteilung an den Verein weitergeleitet. Es bestehe schlicht kein Zusammenhang zwischen dem veröffentlichten Inhalt der E-Mails und der Person der Betroffenen.

Das Gericht stellt zum Schluss zudem fest, dass selbst für den Fall, dass ein berechtigtes Interesse des Vereins bestanden hätte, das schutzwürdige Interesse der Betroffenen vorliegend überwogen hätte. Die Begründung ähnelt ein wenig derjenigen, die wir aus dem bereits oben einmal zitierten Google-Urteil des EuGH kennen. Nach dem Gericht handelte es sich insofern um einen nicht ganz unerheblichen Eingriff in das Persönlichkeitsrecht der Betroffenen, deren Daten zudem gerade nicht allgemein zugänglich waren. Diese Feststellung gelte auch für die im öffentlichen Dienst tätigen Mitarbeiter, die ohne ein überwiegendes berechtigtes Interesse mit ihren personenbezogenen Daten nicht einfach im Internet benannt werden dürften. Der für den Verein relevante Verwaltungsvorgang als solcher ließe sich zudem problemlos und ohne sachlichen Informationsverlust auch ohne Nennung personenbezogener Daten darstellen. So stellt das Gericht letztendlich fest:

Zusammengefasst wäre bei einer Interessenabwägung daher dem Interesse der Beigeladenen, ihre personenbezogenen Daten nicht weltweit abrufbar im Internet veröffentlicht zu sehen, der Vorrang einzuräumen.

Fazit
In der Sache und auf der Grundlage der in diesem Einzelfall vorliegenden Umstände, ist das Urteil durchaus vertretbar. Insbesondere im Rahmen der Abwägung der Interessen der Beteiligten steckt jedoch oft ein gewisser Spielraum für Argumentationen, so dass ein Ergebnis kaum per se vorhersehbar erscheint.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld „An…“ versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Datenschutzbehörde: Einsatz von Facebook ‚Custom Audiences‘ ohne Einwilligung ist rechtswidrig

Das bayerische Landesamt für Datenschutzaufsicht (die in Bayern für den privaten Bereich zuständige Aufsichtsbehörde, BayLDA), hat in dieser Woche seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013/2014 vorgestellt. Ich berichtete hierzu bereits im Blog.

In dem Tätigkeitsbericht (auf S. 172) wird unter anderem auch knapp auf die Frage nach dem datenschutzrechtlich konformen Einsatz des Dienstes „Custom Audiences“ von Facebook eingegangen. Die Auffassung der Behörde zu dem Einsatz des Dienstes:

Unternehmen, die das Facebook Produkt „Custom Audiences“ einsetzen, riskieren die Eröffnung eines Bußgeldverfahrens.

Diese Information sollte mindestens für Unternehmen mit Sitz in Bayern, die diese Funktion des sozialen Netzwerkes nutzen, von besonderem Interesse sein. Es ist zudem nicht auszuschließen, dass andere Landesdatenschutzbehörden im Ergebnis zu einer ähnlichen Bewertung des Dienstes kommen.

Um was geht es?

Ganz vereinfacht dargestellt, geht es bei „Custom Audiences“ um eine Funktion, mit der Unternehmen zielgenauere Werbung ausspielen können. Hierzu ist es (in einer Alternative des Dienstes) erforderlich, dass personenbezogene Datensätze, die als Identifikationskennungen eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen gehashed und dann bei Facebook hochgeladen und damit an Facebook weitergegeben werden. Auch Facebook hashed die Mail-Adressen seiner Nutzer und vergleicht die Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Bei einer Übereinstimmung der Werte gehört der jeweils übermittelte Datensatz also einem Facebook-Nutzer.

Ist das Datenschutzrecht anwendbar?

Nun könnte man meinen, aufgrund des Hashens der Daten geht jeglicher Personenbzug verloren. Damit wäre das Datenschutzrecht nicht anwendbar. Dem ist jedoch nicht so. Nach Auffassung des BayLDA könnte Facebook

ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen.

Es liegen also personenbezogene Daten vor, deren Übermittlung an Facebook einer Grundlage (entweder im Gesetz oder eine Einwilligung) bedarf.

Datenschutzkonforme Nutzung?

Der Kollege Thomas Schwenke hat bereits einen ausführlichen Artikel zum Thema „Datenschutz & Facebook Audiences“ verfasst, auf den ich hier hinweisen möchte. Im Endeffekt kommt er zu dem Ergebnis, dass für die Nutzung der E-Mail-Adresse oder Telefonnummer des Nutzers entweder dessen Einwilligung erforderlich ist oder aber ein Unternehmen sich möglicherweise auch auf gesetzliche Erlaubnistatbestände berufen könnte. Dies jedoch sicherlich nicht ohne rechtliches Risiko (Stichwort: ist die Mail-Adresse ein Listendatum im Sinne des § 28 Abs. 3 BDSG?). Eine Datenübermittlung aufgrund einer Interessenabwägung (§ 28 Abs. 1 S. 1 Nr. 3 BDSG) könnte nach Meinung von Thomas und auch wie ich finde eventuell als Erlaubnistatbestand dienen. Jedoch müsste man dazu tatsächlich den Einzelfall begutachten.

Das BayLDA scheint sich diesbezüglich jedoch bereits auf eine einzige Möglichkeit für die wirksame Übermittlung festgelegt zu haben:

Es bedarf somit einer Einwilligung der Personen, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden.

Die Behörde weist zudem abschließend darauf hin, dass der Einsatz des Dienstes ihrer Ansicht nach ohne Einwilligung der Nutzer eine Ordnungswidrigkeit darstellt, die entsprechend mit Bußgeldern sanktioniert werden könne.

Fazit

Unternehmen, die „Facebook Audiences“ nutzen, sollten diese Information daher, zumindest bei Sitz in Bayern, ernst nehmen und eventuell die eigenen Prozesse entsprechend anpassen. In Panik sollte man meines Erachtens nicht ausbrechen, da es zumindest (je nach Einzelfall) auch Argumente für eine datenschutzkonformen Einsatz ohne Einwilligung geben kann.

Bayerischer Datenschützer: Keine Aussetzungen unter Safe Harbor; erhöhtes Bußgeld bei Browser-Fingerprinting

Heute hat der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013 und 2014 vorgelegt. Das BayLDA ist zuständig für die Überwachung der Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern. Der Tätigkeitsbericht ist daher auf den Bereich des Datenschutzes in der Privatwirtschaft beschränkt. Die Ausführungen in dem Bericht sind für datenschutzrechtlich Interessierte sicherlich lesenswert und geben verantwortlichen Stellen in Bayern einen praxisnahen „Leitfaden“ an die Hand, wie die für sie zuständige Behörde das Datenschutzrecht durchsetzt. Nachfolgend zu einigen in dem Bericht behandelten Themen.

Safe Harbor: Keine Aussetzungen von Datentransfers
Bekanntlich sind vor allem die deutschen Datenschutzbehörden von dem Instrument „Safe Harbor“ als Grundlage für Übermittlungen personenbezogener Daten in die USA nicht überzeugt. Erst letzte Woche wurde eine Entschließung der deutschen Behörden veröffentlicht, nach der die

Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA entfaltet.

Das BayLDA schlägt hier in seinem Tätigkeitsbericht etwas pragmatischere (und meiner Ansicht nach die richtigen) Töne an. Die betreffende Entscheidung der Kommission (2000/520/EG vom 26.07.2000) ist nämlich nach dem Tätigkeitsbericht gegenwärtig nach wie vor in Kraft und für die Datenschutzbehörden der Mitgliedstaaten bindend (Art. 25 Abs. 6 Satz 2 der geltenden Datenschutzrichtlinie 95/46/EG). Das BayLDA weiter:

Auch wenn gerade die deutschen Datenschutzbehörden bereits mehrfach Kritik an der praktischen Umsetzung des Safe-Harbor-Systems geäußert haben, ist die Safe-Harbor-Kommissionsentscheidung auch für sie bindend. Damit ist nach wie vor davon auszugehen, dass US-Unternehmen, die eine aktuelle gültige Safe-Harbor-Zertifizierung besitzen, jedenfalls grundsätzlich ein „angemessenes Datenschutzniveau“ im Sinne von § 4b BDSG aufweisen. (S. 105)

Richtigerweise geht das BayLDA daher davon aus, dass personenbezogene Daten aus Deutschland an US-Unternehmen mit gültiger Safe Harbor-Zertifizierung übermittelt werden dürfen, vorausgesetzt die Datenübermittlung selbst ist ebenfalls gerechtfertigt (etwa durch eine Einwilligung oder auf der Grundlage eines Vertrages). Für deutsche Behörden besteht nach Art. 3 Abs. 1 Satz 1 Buchstabe b der Safe Harbor-Entscheidung die Möglichkeit, einzelne Datenübermittlungen an Safe Harbor-zertifizierte US-Unternehmen u. a. aussetzen. Safe Harbor selbst kann jedoch nur von der EU-Kommission abgeändert oder aufgehoben werden. Erforderlich für die Untersagung einzelner Datentransfers ist, dass „eine hohe Wahrscheinlichkeit besteht, dass die (Safe Harbor-Datenschutz-)Grundsätze verletzt werden“. Auf Grundlage dieser Gegebenheiten hat das BayLDA bislang jedoch keine Maßnahmen zur Aussetzung von Transfers personenbezogener Daten durch Unternehmen aus Bayern in die USA eingeleitet und es sind derzeit keine entsprechenden Maßnahmen vorgesehen.

Browser-Fingerprinting: Erhöhtes Bußgeld bei rechtswidriger Datenverarbeitung
Ein anderes Thema in dem wirklich lesenswerten Bericht ist das Tracking mit sog. „fortgeschrittenen Webtechnologien“ (ab S. 57). Zunächst werden einige Tracking-Technologien vorgestellt (u.a. Flash-Cookies; Canvas-Fingerprinting; Browser-Fingerprinting). Nach Ansicht des BayLDA ermöglicht der Einsatz dieser Trackingmethoden, dass der Browser eines Webseitenbesuchers mit sehr hoher Wahrscheinlichkeit eindeutig bestimmt werden kann. Dies auch dann, wenn der Nutzer das Setzen von herkömmlichen Cookies auf seinem PC ablehnt. Das BayLDA weist dann auf die Voraussetzungen des § 15 Abs. 3 TMG hin, wonach das Erstellen von Nutzungsprofilen unter Pseudonym zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien rechtlich zulässig ist, wenn ein Nutzer einem solchen Profil nicht widerspricht. Das BayLDA geht folglich grundsätzlich von der Möglichkeit eines rechtlich zulässigen Einsatzes der oben benannten Trackingmethoden auf der Grundlage von § 15 Abs. 3 TMG aus. Einschränkend fügt die Behörde jedoch hinzu, dass die Nutzer freilich auf ihr Widerspruchsrecht und auf die Datenverarbeitung an sich hinzuweisen sind. Nach Ansicht des BayLDA

gestaltet sich die praktische Umsetzung dieser gesetzlichen Anforderung jedoch oftmals als nicht ausreichend.

Häufig würden die Informationen nämlich nicht transparent und auch nicht verständlich dargestellt werden. Für die Praxis besonders wichtig ist in diesem Zusammenhang der Hinweis der Behörde, dass (im Fall der mangelnden Umsetzung der gesetzlichen Vorgaben) das Risiko eines Bußgeldes insofern erhöht wäre, da das BayLDA

den ordnungswidrigen Einsatz von Verfahren, mit denen die Nutzereinstellungen zum Schutz vor einer Nutzungsprofilbildung gezielt ausgehebelt werden, verstärkt mit Bußgeldern ahnden.

Der Tätigkeitsbericht befasst sich mit vielen weiteren Thematiken: von Fragen um den betrieblichen Datenschutzbeauftragen (was ist etwa bei einer längeren, krankheitsbedingten Abwesenheit zu tun?), über die Auftragsdatenverarbeitung und Werbung sowie Adresshandel wird eine bunte Palette an Themen behandelt.