UK: Google einigt sich mit Aufsichtsbehörde auf Änderungen beim Datenschutz

Am 30. Januar 2015 gab die englische Datenschutzbehörde (ICO) bekannt, dass man sich im Rahmen eines Prüfverfahrens, welches die Verarbeitung von Nutzerdaten bei Google und den Inhalt der Datenschutzerklärung zum Gegenstand hatte, darüber verständigt hat, dass das US-Unternehmen eine Verpflichtungserklärung unterzeichnet und die Behörde im Gegenzug keine Zwangsmaßnahmen durchführt.

Hintergrund des Verfahrens ist eine europaweite und seit Jahren andauernde Überprüfung der Datenschutzerklärung und Verarbeitungstätigkeiten von Google, welche in verschiedenen europäischen Ländern von den jeweils zuständigen nationalen Behörden vorgenommen wurde und teilweise auch noch wird. Zuletzt hatte die niederländische Datenschutzbehörde für Aufsehen gesorgt, nachdem sie im Dezember 2014 ankündigte, gegen Google ein Bußgeld zu verhängen, welches mit fortschreitender Zeit bis zu 15 Million Euro betragen kann (hierzu mein Beitrag).

Die nun in England unterzeichnete Verpflichtungserklärung (PDF) beinhaltet unter anderem folgende Maßnahmen:

  • Google sorgt für eine fortgesetzte Bewertung der Auswirkungen zukünftiger Veränderungen der Datenverarbeitungsprozesse auf die Privatsphäre der Nutzer
  • Wesentliche Änderungen der Datenschutzerklärung sollen von Spezialisten für die Nutzererwartung begutachtet und mit repräsentativen Gruppen von Nutzern getestet werden
  • Auch in Zukunft wird Google proaktiv mit der Aufsichtsbehörde in England zusammenarbeiten und vor wesentlichen Änderungen der Datenverarbeitungsprozesse die Behörde rechtzeitig hierauf hinweisen

Zudem verpflichtet sich Google spezifische Änderungen an der Datenschutzerklärung bis zum 30. Juni 2015 vorzunehmen. Zu diesen Anpassungen gehören unter anderem:

  •  Google wird die Erreichbarkeit der Datenschutzhinweise verbessern
  • Google wird die Informationen über die Datenverarbeitung in der Datenschutzerklärung verbessern und deutlicher über die Zwecke der Verarbeitung und die Arten der Daten informieren
  • Google wird den Nutzern Informationen dazu bereitstellen, wie sie ihre gesetzlichen Rechte ausüben können
  • Zudem wird Google zwei Abschnitte der Nutzungsbedingungen (unter anderem jenen zur Verarbeitung von Daten im Rahmen des E-Mail-Dienstes) in die Datenschutzerklärung integrieren
  • Auch wird Google die gesamte Datenschutzerklärung mit Blick auf unscharfe und unbestimmte Begriffe und Informationen überarbeiten
  • Google wird eine überarbeitete Version der Account-Einstellungen entwickeln, welche es den Nutzern ermöglichen verschiedene Kontrollmöglichkeiten zu den Diensten auszuüben

Die Verpflichtungserklärung und die dort enthaltenen Vorgaben gelten nur für die englische Version der Datenschutzerklärung von Google.

Auch die Versammlung der europäischen Datenschützer, die sog. Art. 29 Gruppe, hatte im letzten Jahr Vorschläge veröffentlicht, wie Google seine Datenschutzerklärungen ihrer Ansicht nach verbessern könne (hierzu mein Beitrag). Die Verpflichtungserklärung aus England kopiert einige der dort entwickelten „Hausaufgaben“. In Deutschland läuft in diesem Zusammenhang derzeit ein durch den Hamburgischen Beauftragten für Datenschutz angestrengtes Verwaltungsverfahren gegen Google.

Datenschutz-Deutschland: Geprägt von Uneinigkeit

Die Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg, dass Datenschutzverstöße von Kommunen im Rahmen des Einsatzes des Analysetools Google Analytics nach Überprüfungen abgestellt wurden, hat mich stutzig gemacht. Anhand dieses Beispiels “Google Analytics” kann man jedoch erkennen, mit welchen tatsächlichen Schwierigkeiten sowohl Unternehmen als auch Behörden derzeit bei der Beachtung der gesetzlichen Vorgaben zum Datenschutz umgehen müssen, wenn sie weder völlig auf neue Technologien verzichten möchten, noch gesetzliche Standards völlig unbeachtet lassen wollen.

Einheitliche Position der Behörden
Für den privaten Bereich hatten sich alle deutschen Landesdatenschutzbehörden auf ein einheitliches Vorgehen in Sachen „Google Analytics“ verständigt. Unter Federführung des Hamburger Datenschützers wurde ein Verfahren mit Google abgestimmt, welches den (nach Ansicht der Behörden) datenschutzrechtskonformen Einsatz des Tools ermöglicht. Ein solches Ergebnis ist aus Sicht der Praxis und in diesem Fall der privatwirtschaftlichen Betreiber von Webseiten absolut zu begrüßen. Denn es wäre kaum verständlich und vermittelbar, warum etwa ein Unternehmen in Bayern Google Analytics nutzen dürfte und z. B. ein Unternehmen in Hessen nicht. Daneben könnten sich aus einer solchen Situation auch wirtschaftliche Nach- bzw. Vorteile für die Unternehmen ergeben, je nachdem in welchem Bundesland sie sitzen und welche Landesbehörde zuständig ist.

Aber: der öffentliche Bereich
Die angesprochene Mitteilung der Landesdatenschutzbeauftragten aus Brandenburg betrifft nun aber öffentliche Stellen. Hier gelten (teilweise) andere Datenschutzgesetze als im privatwirtschaftlichen Bereich. Einige sind aber auch gleich, gerade was die hier in Rede stehenden Voraussetzungen des § 15 Abs. 3 TMG betrifft (vgl. etwa 16. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, S. 122, PDF). Nach Aussage in der Pressemitteilung der Landesdatenschutzbeauftragten in Brandenburg schließt der „Einsatz von Google Analytics durch öffentliche Stellen in Brandenburg“ die Möglichkeit des datenschutzgerechten Betriebes von Internetangeboten aus. Man geht also von der absoluten Unzulässigkeit aus.

Doch warum soll hier etwas anderes gelten, als im privaten Bereich? Können öffentliche Stellen nicht auf die durch die Datenschutzbehörden mit Google ausgehandelten Kriterien zurückgreifen? Auch der Landesdatenschützer in Hessen geht von der Unzulässigkeit des Einsatzes von Google Analytics durch öffentliche Stellen aus. Grund hierfür ist oft, dass im öffentlichen Datenschutzrecht spezielle Anforderungen an die Auftragsdatenverarbeitung gestellt werden, die Google nicht erfüllen kann. Auf der anderen Seite ging bereits im Jahre 2010 der Bayerischen Landesbeauftragten für den Datenschutz davon aus, dass Google Analytics auch durch Behörden grundsätzlich rechtskonform eingesetzt werden kann. In einer Pressemitteilung, die im Rahmen der Prüfung bayerischer Behörden entstand, führt er aus:

Bei der Anfang November durchgeführten Nachprüfung hat sich gezeigt, dass nunmehr nur noch 159 bayerische Behörden Google Analytics einsetzen. 25 dieser Behörden tun dies in Verbindung mit einer Anonymisierungsfunktion, eine datenschutzkonforme Vorgehensweise ist danach zumindest möglich. (Hervorhebung durch mich).

Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass für öffentliche Stellen in Hamburg andere rechtliche Voraussetzungen und zusätzliche Anforderungen gelten, die einen Einsatz von Google Analytics oder anderer Tracking-Dienste nur eingeschränkt ermöglichen (PDF). Ausgeschlossen ist der Einsatz danach aber nicht, wie sich etwa am Beispiel der Webseite des Hamburger Senats zeigt, auf der Google Analytics zum Einsatz kommt.

Quintessenz
Was möchte ich mit diesen Feststellungen sagen? Offensichtlich ist man sich bezüglich der Voraussetzungen des Einsatzes von Google Analytics in den Datenschutzbehörden in Deutschland uneins, was jedoch leider für den praktischen Umgang mit den Datenschutzgesetzen ein erhebliches und Rechtsunsicherheit schaffendes Problem darstellen kann. Gerade wenn solche landesspezifischen Abweichungen im Bereich der Durchsetzung des Datenschutzrechts in der Privatwirtschaft entstehen. Nach dem Motto: “Warum dürfen die Bayern das und wir nicht?”. Im konkreten Fall betrifft es beispielhaft das Thema „Google Analytics“ und den öffentlichen Bereich. Doch abweichende Rechtsanschauungen und damit einhergehend eine abweichende Rechtsdurchsetzung (immerhin mit der Möglichkeit Bußgelder zu verhängen), treten ebenso im privatwirtschaftlichen Bereich zu Tage. Man muss daher im Interesse aller Beteiligten hoffen, dass ein einheitliches Vorgehen der Aufsichtsbehörden in Zukunft, ja wenn nicht sogar eine gesetzliche Pflicht (man denke an die Vorgaben der Datenschutz-Grundverordnung zum sog. „one-stop-shop“) zum kohärenten Vollzug der Datenschutzgesetze, die Regel sein wird.

NRW-Justizminister fordert „Recht auf digitalen Neustart“ für Jugendliche

Der Justizminister des Landes Nordrhein-Westfalen, Thomas Kutschaty, möchte sich laut dem Spiegel für eine Bundesratsinitiative einsetzen, um Internetnutzern die gesetzlich verankerte Möglichkeit zu geben, Suchmaschinenbetreibern in bestimmten Fällen die Löschung von Daten abzuverlangen. Im Blick hat Kutschaty bei seinem Vorschlag vor allem Jugendliche. Seiner Ansicht nach machten sich nämlich zu wenige von ihnen Gedanken über das, was sie ins Internet stellen. Jahre später könnte es dann zu Problemen, etwa bei Bewerbungen kommen.

Recht auf Vergessenwerden?
Der Vorschlag des Ministers (und gerade der Verweis auf Suchmaschinen) klingt nach dem Wunsch einer gesetzlichen Verankerung des sog. Rechts auf Vergessenwerden, wie es der Europäische Gerichtshof (EuGH) im Mai 2014 in seinem Google-Urteil aus der geltenden EU-Datenschutzrichtlinie entwickelte. Da jedoch das Recht von Betroffenen, Verweise auf Internetseiten unter bestimmten Voraussetzungen aus den Suchergebnislisten löschen zu lassen, nach dem EuGH bereits derzeit gesetzlich verankert (bzw. aus den Vorgaben der EU-Datenschutzrichtlinie mindestens ableitbar) ist, muss man sich fragen, welche gesetzlichen Neuregelungen der Justizminister konkret anstrebt? Denn diese wären ja eigentlich nicht erforderlich, sollte es sich allein um das Löschen (oder anders: Unterdrücken) von Links in Ergebnislisten handeln.

Bestehende Vorgaben
Die Intention scheint mehr in die Richtung des allgemeinen Schutzes von Jugendlichen und Kindern im Internet zu gehen und ihnen die Möglichkeit zu geben, dass sich ihre digitale Vergangenheit auf Knopfdruck in Luft auflösen lässt. Dies würde auch zu dem Begriff „digitaler Neustart“ passen. Insofern stellt sich dann jedoch die Frage, welche gesetzlichen Voraussetzungen erfüllt sein müssten, um Bilder, Informationen und Texte, die man als Jugendlicher veröffentlicht hat, zu löschen?

Soll es sich etwa nur um personenbezogene Daten handeln? Hier gilt bereits das Datenschutzrecht, welches nicht nach Erwachsenen und Kindern unterscheidet. Die geltenden Gesetze stellen zum einen gewisse Voraussetzungen an die Verarbeitung personenbezogener Daten an sich, wenn also etwa ein Internetdienst die Daten eines Jugendlichen eigenverantwortlich verwendet. Zudem sehen die Gesetze Löschpflichten für verantwortliche Stellen vor, die nicht nur von dem Ablauf einer gewissen Zeit, sondern auch der Unvereinbarkeit der weiteren Verwendung der Daten mit den Interessen des Jugendlichen abhängen können. Wozu also neue Regelungen?

Digitale Generalamnestie?
Eventuell steckt hinter dem Vorschlag daher eher der Gedanke einer „digitalen Generalamnestie“. Nach dem Motto: bis zum 18. Lebensjahr dürfen sich Jugendlichen im Netz austoben und ihre Jugendsünden dann auch löschen lassen. Ein solcher Vorschlag birgt jedoch meines Erachtens einige Risiken (etwa kollidierende Grundrechte Dritter) und ist natürlich gleichzeitig auch eine Art Schuldeingeständnis, nämlich dass man als Staat noch nicht die (richtigen) Mittel und Wege gefunden hat, um Kinder und Jugendliche auf die unbestreitbar bestehenden Risiken beim Umgang mit dem Internet vorzubereiten und sie aufzuklären.

Beispielhaft sei auf die USA und dort auf ein am 1.1.2015 in Kalifornien in Kraft getretenes Gesetz (Privacy Rights for California Minors in the Digital World) verwiesen. Dieses Gesetz sieht in seinem Abschnitt 22581 nämlich in der Tat eine Art „digitalen Neustart“ für Kinder im Internet (darüber hinausgehend aber etwa auch für Anbieter von Apps) vor. Die Möglichkeit für Jugendliche, bei einem Dienst oder Anbieter eingegeben Informationen (es muss sich nicht um personenbezogene Daten handeln) zu löschen bzw. löschen zu lassen, wird dort jedoch nicht pauschal gewährt, sondern enthält bestimmte Einschränkungen. So etwa eine Speicherpflicht des Anbieters aufgrund anderer Gesetze oder wenn die Informationen anonymisiert werden.

Fazit
Die Beweggründe des Justizministers sind jedoch vielleicht auch noch von einer anderen Natur. Laut dem Spiegel hält es Herr Kutschaty „für problematisch, wenn es keine gesetzliche Regelung gibt und wir uns in Fragen von Persönlichkeitsrechten auf ein Entgegenkommen von Google verlassen müssen“. Den Minister scheint also gerade die mangelnde Durchsetzung der (meines Erachtens bereits bestehenden) gesetzlichen Regelungen bzw. die tatsächlichen Probleme bei der Durchsetzbarkeit (mangelndes Personal und fehlende finanzielle Mittel in den zuständigen Behörden) zu treiben. Dazu bedarf es aber nicht noch eines „neuen“ Rechts, welches dann auch nicht durchsetzbar ist und am Ende einen reinen Placeboeffekt hervorruft.

Bis zu 15 Mio. Euro: Niederländische Datenschutzbehörde verhängt Zwangsgeld gegen Google

Die niederländische Datenschutzbehörde (CBP) gab gestern bekannt, dass sie im Zuge behördlicher Anordnungen gegenüber Google ein Zwangsgeld verhängt habe, dessen Höhe bis zu einem Betrag von 15 Mio. Euro steigen kann.

Nach Angaben der Behörde bietet Google seine Dienste in den Niederlanden unter Verstoß gegen das nationale Datenschutzrecht an. Im November 2013 hat die CBP ein umfassendes Gutachten (PDF, Englisch) veröffentlicht, in dem die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch die Dienste von Google untersucht wird. Auf der Grundlage der Ergebnisse dieses Gutachtens geht die Behörde nun gegen das amerikanische Unternehmen vor.

Die CBP fordert Google insbesondere zu drei umzusetzenden Maßnahmen auf:

  • Das Unternehmen muss die Einwilligung seiner Nutzer einholen, wenn es personenbezogene Daten aus verschiedenen Diensten kombiniert. Die Einwilligung müsse „ohne jeden Zweifel“ erfolgen, was derzeit nicht sichergestellt sei. So stört sich die Behörde insbesondere daran, dass Google Informationen zu dieser Verknüpfung von Daten in seinen Nutzungsbedingungen und der Datenschutzerklärung bereitstelle, was jedoch nicht ausreichend sei.
  • Zudem müssten die Informationen in den Datenschutzerklärungen darüber, wie verschiedene Dienste von Google personenbezogene Daten nutzen, deutlicher und umfassender bereitgestellt werden.
  • Auch solle Google deutlich machen, dass es sich bei YouTube um einen Dienst von Google handelt. In den Niederlanden habe Google hinsichtlich dieser letzten Forderungen bereits Maßnahmen ergriffen.

Das Vorgehen der CBP steht im Zusammenhang mit einer europaweit angelegten Prüfung der Datenschutzbestimmungen und Datenverarbeitung durch Google, die seit 2012 durch die französische Datenschutzbehörde koordiniert und im Rahmen der sog. Art. 29 Datenschutzgruppe durchgeführt wird. In mehreren Ländern haben Datenschutzbehörden bereits verwaltungsrechtliche Verfahren gegen Google eröffnet. So etwa die spanische Datenschutzbehörde (mein Beitrag) als auch die französische Aufsichtsbehörde (mein Beitrag). In Deutschland hat der Hamburgische Datenschutzbeauftragte im September 2014 eine Anordnung gegen das Unternehmen erlassen.

Erst jüngst hat die Art. 29 Datenschutzgruppe im Zusammenhang mit diesen Verfahren auch eine Stellungnahme veröffentlicht, wie aus ihrer Sicht die Datenschutzerklärung von Google angepasst werden könnte, um den datenschutzrechtlichen Ansprüchen in Europe zu genügen. Man könnte auch von einem “Hausaufagbenheft” für Google sprechen (mein Beitrag dazu).

In den Niederlanden hat Google nun bis Februar 2015 Zeit, um die Forderungen der CBP umzusetzen. Sollte das Unternehmen dem nicht nachkommen, so kündigt die Behörde bereits an, dass ein Zwangsgeld bis zu einer Höhe von 15 Mio. Euro verhängt werden könnte.

Behörden fordern App-Stores auf, Datenschutzerklärungen als Pflicht für App-Anbieter einzuführen

Insgesamt 23 Datenschutzbehörden auf der ganzen Welt haben einen offenen Brief an sieben Betreiber großer App-Stores unterzeichnet. Darin fordern die Datenschützer die Betreiber der App-Marktplätze auf, eine Verpflichtung für App-Anbieter vorzusehen, Links zu Datenschutzerklärungen ihrer Apps bereitzustellen, wenn sie über ihre Apps personenbezogenen Daten verarbeiten. Ansonsten sollen die Apps nicht zugelassen werden.

Die unterzeichnenden Datenschutzbehörden, aus Deutschland sind die Landesdatenschützer aus Baden-Württemberg und Bayern beteiligt, arbeiten im sog. „Global Privacy Enforcement Network (GPEN)“ zusammen. Innerhalb dieses Netzwerkes führen die Behörden jedes Jahr weltweit Prüfungen von Apps und deren Einhaltung der geltenden Datenschutzgesetze durch. Der bayerische Datenschützer hatte im Mai 2014 informiert, dass im Rahmen seiner Prüfung 60 Apps begutachtet und teilweise erheblich Mängel festgestellt worden sind. Die Datenschutzaufsichtsbehörden des Bundes und der Länder für den nichtöffentlichen Bereich (Düsseldorfer Kreis) haben in Deutschland im Juni 2014 eine „Orientierungshilfe Apps“ erstellt, um die aus ihrer Sicht notwendigen datenschutzrechtlichen Anforderungen an den Einsatz und den Vertrieb von Apps darzustellen (hierzu mein ausführlicher Blogbeitrag).

In ihrem am 9. Dezember 2014 veröffentlichten Brief, fordern die Datenschutzbehörden aus der ganzen Welt nun jedoch Unterstützung durch die großen Anbieter der App-Stores. Darunter Apple, Google, Samsung und Microsoft. Zwar würde auf den App-Marktplätzen die Möglichkeit für App-Anbieter bestehen, einen Link zu ihrer Datenschutzerklärung einzufügen. Die Marktplatz-Anbieter sollten jedoch dazu übergehen, die Bereitstellung von Informationen zur Datenverarbeitung als zwingende Voraussetzung eines Angebotes der App auf der Plattform vorzusehen.

Hamburger Datenschützer: Datenschutzverstöße sollten generell abmahnbar sein

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Caspar, hat sich in einer Stellungnahme (PDF) zur Anhörung der Monopolkommission zur Vorbereitung eines Sondergutachtens zum Wettbewerb auf digitalen Märkten, zu Fragen im Schnittfeld zwischen Datenschutz- und Wettbewerbsrecht geäußert. Zum einen geht es hierbei um marktbeherrschende Stellungen von Unternehmen, die diese möglicherweise auch durch Datenschutzverstöße erlangen, festigen oder ausbauen. Zum anderen äußert sich der HmbBfDI kritisch zu dem (immer noch umstrittenen Verhältnis) zwischen Wettbewerbsrecht und dem Datenschutzrecht, vor allem inwiefern Verstöße gegen datenschutzrechtliche Vorgaben durch Wettbewerber nach dem UWG abgemahnt werden können.

Marktmacht und Datenschutz
Laut der Stellungnahme des HmbBfDI tendiert eine Datenmacht dazu, die Marktmacht von Unternehmen zu festigen. Prof. Caspar kritisiert mit Blick auf die großen Anbieter von sozialen Netzwerken und Suchmaschinen, dass für die Nutzer, anders als bei der Wahl eines Telekommunikationsanbieters, ein Anbieterwechsel nur unter Verlust der gesammelten Kontakte und der eigenen Daten möglich sei. Es bestehe zumeist keine Durchlässigkeit hin zu anderen Dienstleistern auf dem Markt. Der Datenschützer begrüßt daher den in der geplanten europäischen Datenschutz-Grundverordnung geplanten Ansatz, ein Recht auf „Datenportabilität“ einzuführen. Die Möglichkeit, die eigenen Daten beim Anbieterwechsel mitzunehmen, könne nach Ansicht von Prof. Caspar wesentlich dazu beitragen, den Wettbewerb auf digitalen Märkten zu stärken. Auch eine Interoperabilität zwischen den verschiedenen Anbietern fordert der Datenschutzbeauftragte.

Intransparente Strukturen
Zudem kritisiert Prof. Caspar, dass Marktmacht und Datenmacht gleichsam durch intransparente Strukturen der von den Unternehmen verfolgten Geschäftsmodelle begünstigt werden. Er bezieht sich in seiner Stellungnahme etwa auf die Betreiber von Suchmaschinen und die „von außen nicht ohne weiteres nachvollziehbare Platzierung in den Trefferlisten“. Im Prinzip wäre es seiner Ansicht nach erforderlich, dass die Suchalgorithmen offengelegt werden. Auch eine andere, kurzfristig zu erreichende Verbesserung schlägt er vor: durch die Vorgabe einer farbigen Unterlegung von konzerneigenen Angeboten bei den Suchtreffern würde eine größere Transparenz für Nutzer hergestellt.

Unter der Überschrift der „intransparenten Strukturen“ bemängelt Prof. Caspar zudem die Schwierigkeit für Nutzer zu erkennen, „ob und zu welchen Zwecken die Verwendung der von ihnen zur Verfügung gestellten persönlichen Daten durch die Internetdienstleister erfolgt“. Beispielhaft geht er bei seiner Stellungnahme auf die Datenschutzbestimmungen von Netflix ein. Diesen attestiert er eine „schwammige Zweckbindungsbestimmung“ und einen erweiternden Zusatz, „der die Datenschutzfunktion weitgehend ad absurdum führt“. Diese von Prof. Caspar bemängelte, fehlende Transparenz werde seiner Einschätzung nach „von marktrelevanten Unternehmen nicht zuletzt zur Festigung und Ausdehnung der eigenen Markt- und Datenmacht genutzt“.

Datenschutzwidrige Praxis und Wettbewerbsrecht
Auch geht der Datenschutzbeauftragte darauf ein, dass (vermeintliche) datenschutzwidrige Praktiken seiner Ansicht nach zu einem Wettbewerbsvorteil führen können. Gerade auf digitalen Märkten wirke sich die Nichtbeachtung von Vorgaben des Datenschutzes auch auf die Wettbewerbspositionen der Marktteilnehmer aus. Das bisherige Nebeneinander zwischen Wettbewerbs-und Datenschutzrecht erschwere es Wettbewerbern jedoch bislang, Datenschutzverstöße über das UWG erfolgreich und rechtssicher geltend zu machen. Die Rechtsprechung und Literaturmeinungen zu dieser Thematik gehen auseinander. Erforderlich für ein Vorgehen nach dem UWG ist der Verstoß gegen eine Marktverhaltensvorschrift im Sinne des § 4 Nr. 11 UWG. Jedoch existieren beispielsweise divergierende Gerichtsentscheidungen zu der Frage, ob ein Verstoß gegen die Regelung des § 4 Abs. 1 BDSG (der eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur erlaubt, soweit dies nach dem BDSG oder eine andere Rechtsvorschrift gestattet ist oder der Betroffene eingewilligt hat) auch einen Verstoß gegen das Wettbewerbsrecht darstellt.

Prof. Caspar fordert daher in seiner Stellungnahme, dass in Zukunft darüber nachgedacht werden sollte, „den Verstoß gegen Datenschutzregeln mit einem Wettbewerbsverstoß gleichzusetzen“. Hierzu bedürfe es jedoch einer Initiative des Gesetzgebers.

Recht auf Vergessenwerden – Europäische Datenschützer veröffentlichen Richtlinien

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Google“ (C-131/12) aus dem Mai 2014, besitzen Betroffene einen Anspruch gegen Suchmaschinenbetreiber, mit dem sie unter gewissen Umständen Einträge aus Ergebnislisten entfernen lassen können.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der Art. 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun Richtlinien veröffentlicht (PDF), nach denen sie in Zukunft Beschwerden von Betroffenen bearbeiten möchten, die zuvor mit Ansprüchen gegenüber Suchmaschinenbetreibern gescheitert sind. Das Dokument enthält zudem interessante Informationen dazu, wie die Datenschützer das Urteil des EuGH auslegen. Nachfolgend möchte ich einige Aspekte der Richtlinien näher besprechen.

Im Allgemeinen überwiegt der Datenschutz
Zunächst verweisen (man muss sagen, leider) die Datenschützer auf die Aussage des EuGH, dass im Rahmen der Abwägung zwischen dem Grundrecht auf Schutz personenbezogener Daten mit den Grundrechten der Unternehmen und der Internetnutzer, der Datenschutz im Allgemeinen überwiegen soll. Dass dieser generelle Vorrang eines Grundrechts vor anderen Grundrechten meines Erachtens mit der Charta der Grundrechte der Europäischen Union (EU-Charta) nicht begründbar ist, hatte ich bereits einmal geschrieben. An dieser Einschätzung ändert sich meines Erachtens auch nichts, wenn darauf verwiesen wird, dass ein fairer oder angemessener Ausgleich zwischen den kollidierenden Grundrechtspositionen gefunden werden muss. Denn wenn dieser faire Ausgleich bereits unter dem Vorzeichen des generellen Vorrangs des Datenschutzes steht, dann existiert von Anfang an ein Ungleichgewicht.

Positiv hervorzuheben ist, dass die Art. 29 Gruppe explizit auf das Grundrecht auf Informationsfreiheit nach Art. 11 EU-Charta verweist. Auf der anderen Seite gehen die Datenschützer jedoch davon aus, dass die Auswirkungen von Löschansprüchen auf dieses Grundrecht gar keine große Auswirkungen haben werden, da ja die Originalseiten gar nicht gelöscht werden.

Verantwortung der Niederlassungen
Die Art. 29 Gruppe schein ein Problem zu erkennen, welches bereits in letzter Zeit in Deutschland durch die juristische Nachrichtenlandschaft ging. Einige Landgerichte haben Ansprüche, die gegen die deutsche Niederlassung von Google geltend gemacht wurden, mit der Begründung abgelehnt, dass nach dem Urteil des EuGH allein die Google Inc. in den USA verantwortlich sei. Die nationalen Niederlassungen seien nicht der richtige Anspruchsgegner und damit nicht „passivlegitimiert“. In ihren Richtlinien verweisen die Datenschützer auf das Problem, dass die geltende Datenschutzrichtlinie keine Aussage zu der Verantwortlichkeit von Niederlassungen in der europäischen Union trifft, die eine verantwortliche Stelle, welche in einem Drittland (wie den USA), in der EU besitzt. Nichtsdestotrotz fordern die Datenschützer unter Verweis auf die effektive Durchsetzung der Rechte der Betroffenen, dass diese ihre Ansprüche auch gegenüber nationalen Niederlassungen geltend machen können müssen. Meines Erachtens war der EuGH in seinem Urteil klar: verantwortliche Stelle und damit alleiniger Anspruchsgegner eines datenschutzrechtlichen Anspruchs ist die Google Inc. in den USA. Zwar waren die europäischen Niederlassungen für den EuGH von Relevanz, um europäisches Datenschutzrecht für anwendbar zu erklären. Jedoch bleibt das amerikanische Unternehmen die verantwortliche Stelle. Lösch- oder Widerspruchsansprüche bestehen nur diesem gegenüber. Man kann sich auch fragen, was denn passiert, wenn es in einem europäischen Mitgliedstaat gar keine Niederlassung gibt? Sind dann die Bürger in diesen Staaten darauf angewiesen, allein gegen das in Amerika ansässige Unternehmen vorzugehen? Es existiert ja keine nationale Niederlassung. Damit wären sie im Rahmen der Durchsetzung ihrer Rechte natürlich benachteiligt.

Keine Informationen an Webmaster
Wenig überraschend gehen die Datenschützer auch davon aus, dass Suchmaschinenbetreiber den Webmaster einer Seite nicht darüber informieren dürfen, dass ein Link auf seine Seite aus der Ergebnisliste entfernt wurde. Die Art. 29 Gruppe erkennt keine gesetzliche Grundlage, nach der eine solche Mitteilung, die personenbezogene Daten enthält, erfolgen dürfte. Auch diese Sichtweise ist meines Erachtens, zumindest teilweise, zu kritisieren. Denn zum einen müsste man für jeden Einzelfall prüfen, ob die Information an den Webmaster personenbezogene Daten enthält. Denn wenn nicht (der Name des Antragstellers wird nie mitgeteilt), dann würde das Datenschutzrecht keine Anwendung finden. Selbst wenn eine Rechtsgrundlage erforderlich wäre, dann könnte man hier an Art. 7 (c) (Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt) oder an Art. 7 (f) (Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird) der Datenschutzrichtlinie (RL 95/46/EG) denken. Warum soll etwa ein Presseverlag kein berechtigtes Interesse geltend machen können, hierüber informiert zu werden?

Am Ende des Dokumentes befinden sich dann Fallgruppen und Kriterien, nach denen die europäischen Datenschutzbehörden bestimmte Sachverhalte beurteilen können. Interessant hierbei ist etwa, dass die Datenschützer in Zukunft auch Suchen nach Pseudonymen und Nicknames als taugliche Voraussetzung eines Anspruchs ansehen wollen, wenn diese der Identität einer Person zugeordnet werden können. Das Urteil des EuGH bezog sich jedoch allein auf den Namen einer Person.

Intelligente Netze und Messsysteme: Kommission veröffentlicht Empfehlungen zum Datenschutz

Intelligente Netze (sog. smart grids) und daran angeschlossene Messsysteme (sog. smart meter) erfahren einen immer größeren Verbreitungsgrad. Über diese intelligenten, da digital ansteuer- und auslesbaren, Systeme können Energieunternehmen etwa Daten über das Heizverhalten oder den Stromverbrauch von Haushalten erheben und analysieren. Der Vorteil liegt auf der Hand: Strom kann aufgrund vorgenommener Analysen zum Beispiel besser verteilt werden. Welches Gebiet benötigt wann wieviel Strom? Wo und wann besteht grundsätzlich der geringste Heizbedarf? Auch eine bedarfsgerechtere Abrechnung des Energieverbrauchs ist möglich.

Da jedoch für diese Zwecke nicht nur die jeweiligen „nackten“ Messwerte abgelesen werden, spielt das Thema Datenschutz auch in diesem Bereich des ‚Internets der Dinge‘ eine wichtige Rolle. Die europäischen Datenschützer, versammelt in der sog. Artikel 29 Datenschutzgruppe, haben daher auch bereits im Jahr 2011 eine Stellungnahme zu Fragen des Datenschutzes und dem Smart Meetering verfasst (WP 183, PDF). Die europäischen Datenschützer empfehlen unter anderem vor dem Einsatz von intelligenten Messsystemen eine Datenschutz-Folgenabschätzung vorzunehmen (WP 183, S. 12).

Um eine solche Datenschutz-Folgenabschätzung, welche die potentiellen Risiken für personenbezogene Daten beim Einsatz intelligenter Zähler bereits in der Planungsphase aufzeigen und entsprechend minimieren soll, europaweit möglichst in einer einheitlichen Form durchzuführen, hat eine Arbeitsgruppe auf europäischer Ebene (Expert Group 2 (EG2)) ein Muster (Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems, PDF) entworfen, welches von Unternehmen genutzt werden soll, die den Aufbau oder Investitionen in intelligente Netze oder Messgeräte planen.

Anfang Oktober 2014 hat nun die Europäische Kommission ihre Empfehlungen zum Einsatz des Musters für die Datenschutz-Folgenabschätzung veröffentlicht (2014/724/EU, PDF). Diese Empfehlungen richten sich an die Mitgliedstaaten und wie diese bei der Verbreitung des Musters mitwirken und Unternehmen unterstützen sollten. Interessant sind zudem die in dem Dokument von der Kommission aufgestellten Definitionen zu verschiedensten Begriffen, die derzeit im Datenschutzrecht diskutiert werden (z. B. der „konzeptionsbedingte Datenschutz“ (data protection by design) oder auch der „standardmäßige Datenschutz“ (data protection by default)).

Die Kommission empfiehlt, dass die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und auch den nationalen Datenschutzbehörden zusammenarbeiten sollten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen. Etwas konkreter sind zudem Empfehlungen, wonach die Mitgliedstaaten sicherstellen sollten, dass die für die Datenverarbeitung Verantwortlichen nach der Durchführung einer Datenschutz-Folgenabschätzung die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

Der Einsatz des Musters zur Folgenabschätzung sowie die Umsetzungsmaßnahmen der Mitgliedstaaten sollen in einer zwei-jährigen Testphase erprobt und danach von der Kommission bewertet werden. Anhand eines nachfolgenden Prüfberichts will die Kommission dann entscheiden, ob das Muster eventuell angepasst werden muss.

Konferenz der deutschen Datenschützer: „Recht, schwer gefunden zu werden“ soll weltweit gelten

Am 8. und 9. Oktober 2014 fand in Hamburg die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) statt. Auf der Tagesordnung standen unter anderem die Kontrolle von Geheimdiensten, das Google-Urteil des EuGH und der Datenschutz im KfZ. Die Entschließungen der DSK sind nun auf der Webseite des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit abrufbar.
Mit Blick auf die Tätigkeit der Nachrichtendienste (Effektive Kontrolle der Nachrichtendienste herstellen!, PDF) stellt die DSK fest, dass deren Befugnisse auch die Überwachung der Telekommunikation einschließe und damit im Bereich der strategischen Auslandsüberwachung des BND ein Kontrolldefizit einhergeht. Da für die Betroffenen die durch Nachrichtendienste vorgenommene Datenverarbeitung in weitem Maße intransparent erfolgt, ist nach Ansicht der DSK auch der Individualrechtsschutz faktisch eingeschränkt. Die DSK bemängelt, dass bestimmte Bereiche nachrichtendienstlicher Tätigkeiten per se Eigeninitiativkontrolle durch die Datenschutzbeauftragten des Bundes und der Länder entzogen seien. Es fehle an einem eigenen Kontrollmandat der Datenschutzbeauftragten für Beschränkungen des Fernmeldegeheimnisses. Die DSK hält daher eine Einbindung der Datenschutzbeauftragten neben den parlamentarischen Kontrollinstanzen (G10-Kommission) für erforderlich.

Auch das „Google-Urteil“ des EuGH (Rs. C-131/12) war ein Thema der DSK (Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen, PDF). Mit Blick auf die immer noch umstrittene Frage, ob nach einer erfolgreichen Beschwerde eines Betroffenen die Ergebnislisten auch bei einer Suche über „Google.com“ entsprecht angepasst (also bestimmte Ergebnisse unterdrückt) werden müssen, fordert die DSK, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Hinsichtlich der auch vom Bundesinnenministerium angestellten Überlegungen, unabhängige Schlichtungsstellen zu etablieren, die bei Beschwerden über zurückgewiesene Anträge von Betroffenen entscheiden sollen, scheint die DSK Zurückhaltung zu üben. Nach der Entschließung dürften alternative Streitbeilegungs-oder Streitschlichtungsverfahren das verfassungsmäßige Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen (also Gerichte und/oder die Datenschutzbehörden) nicht beschneiden. Zuletzt streiten die Datenschützer eine Befugnis von Suchmaschinenbetreibern ab, dass diese bei einem positiven Antrag eines Betroffenen den jeweiligen Inhalteanbieter (also den Webseitenbetreiber) über die Sperrung von Suchergebnissen informieren dürften. Dies soll selbst dann gelt, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält. Meiner Ansicht nach ist dann aber, zumindest aus datenschutzrechtlicher Sicht fraglich, warum eine solche Information nicht erteilt werden dürfte? Denn personenbezogene Daten (wie der Name) werden ja dann nicht verarbeitet. Ironischerweise dürfte diese Sichtweise mit der geplanten Datenschutz-Grundverordnung ohnehin bald obsolet sein. Denn nach dem Entwurf der Kommission (Kom (2012) 11,  PDF) soll in Art. 17 Abs. 2 gerade eine solche Benachrichtigung verpflichtend eingeführt werden. Auf diese Pflicht weißt auch die italienische Ratspräsidentschaft in dem neuesten Dokument aus den Ratsverhandlungen zur Thematik des „Rechts auf Vergessenwerden“ hin (PDF).

Weitere Entschließungen der DSK:
Marktmacht und informationelle Selbstbestimmung (PDF)

Unabhängige und effektive Datenschutzaufsicht ist für Grundrechtschutz unabdingbar (PDF)

Datenschutz im Kraftfahrzeug (PDF)

Datenschützer entwickeln ein Hausaufgabenheft für Google

Seit 2012 haben europäische Datenschutzbehörden in einer koordinierten Aktion, unter Führung der französischen Datenschutzbehörde, die Datenschutzerklärung von Google und deren Vereinbarkeit mit europäischem Datenschutzrecht überprüft (hierzu meine Blogbeiträge: Europa gegen Google? – Die “Task-Force” macht ernst und Französische Datenschutzbehörde eröffnet Verfahren gegen Google). Nachdem in den letzten Jahren jeweils nationale Verfahren aus diesem koordinierten Vorgehen erwachsen sind (etwa in Spanien oder in Frankreich), hat das Gremium der europäischen Datenschutzbehörden (die Art. 29 Gruppe) nun einen Maßnahmenkatalog (PDF) (man könnte auch von einem datenschutzrechtlichen Hausaufgabenheft sprechen) entwickelt, der Maßnahmen vorschlägt, wie aus der Datenschutzbehörden die Datenschutzerklärung von Google anzupassen ist, um eine Konformität mit europäischem Datenschutzrecht herzustellen. Begleitet wird dieser Katalog von einem Brief (PDF) an Larry Page.

Die Vorschläge der Datenschützer sind dabei als mögliche Lösungsvarianten anzusehen und sollen Google dabei helfen, die Vorgaben der Aufsichtsbehörden umzusetzen. Nachfolgend einige Highlights des immerhin 6-seitigen Dokuments.

  • Die Datenschutzerklärung soll stets sichtbar und direkt aufrufbar sein, ohne dass Nutzer etwa zum Ende einer Webseite scrollen müssten.
  • Es sollen abschließend alle Datenarten aufgelistet werden, die von Google im Rahmen seiner Dienste verarbeitet werden.
  • Auch sollen abschließend alle Zwecke angegeben werden, die der Datenverarbeitung zugrunde liegen.
  • Allein auf einer Seite soll Google den Nutzern die Möglichkeit bieten, sich ein umfassendes Bild über die Datenverarbeitung zu verschaffen.
  • Sollten sich die Zweck der Datenverarbeitung ändern oder neue hinzukommen, so soll Google dies nicht in den Nutzungsbedingungen darstellen, sondern vielmehr in der Datenschutzerklärung darüber informieren.
  • Werden Daten an Dritte weitergegeben, so dürfe Google nicht einfach von „Partnern“ sprechen, sondern müsse diese Partner konkret benennen.
  • Passive Webseitenbesuchern sollen besser informiert werden. Zudem müsste ihnen die Möglichkeit einer Einwilligung in die Verarbeitung ihrer Daten gegeben werden. Die Art. 29 Gruppe weißt hier auf Google Analytics hin. So könnte der Dienst etwa derart eingestellt werden, dass eine Analyse des Nutzerverhaltens erst beginnt, wenn der Betroffene seine Einwilligung erteilt hat. Auch wird hier auf die in der Praxis etablierte Verfahrensweise des Einsatzes von Google Analytics in Deutschland hingewiesen (Kürzung der IP-Adresse; Abschluss eines Vertrages zur Auftragsdatenverarbeitung; Möglichkeit des Opt-out). Diese Lösung könnte, so die Idee der Datenschützer, auf andere Länder übertragen werden.
  • Google sollte zudem die Formulierungen seiner Datenschutzerklärung ändern und keine Begriffe wie „wir können“ verwenden.
  • Nach Ansicht der Art. 29 Gruppe könnte Google seine Datenschutzerklärung mehrschichtig aufbauen. Auf der ersten Ebene allgemeine Informationen mit Verweisen zu speziellen und umfangreicheren Erläuterungen der einzelnen Dienste. Auf der zweiten Ebene dann spezielle Informationen zum Datenumgang bei den einzelnen Diensten.
  • Zudem soll Google Richtlinien zur Datenspeicherung und der Speicherdauer entwickeln. Diese sollten den Datenschutzbehörden vorgelegt werden.

Die Vorgaben bzw. Empfehlungen der Art. 29 Gruppe sind durchaus eine interessante Zusammenstellung an Interpretationen des europäischen Datenschutzrechts und wie sich ein Diensteanbieter wie Google insoweit konform verhalten kann. Dennoch scheinen einige der Vorgaben praktisch kaum umsetzbar bzw. mit dem geltenden Datenschutzrecht nicht begründbar zu sein. Ein Beispiel: die umfassende Aufklärung der Datenverarbeitung allein auf einer Seite. Was ist überhaupt eine „Seite“? DinA4? Gerade Unternehmen wie Google verarbeiten eine große Menge an Daten. Die Verarbeitungsvorgänge sind teilweise nicht in einem Satz darzustellen. Möchte der Anbieter also zumindest ansatzweise umfassend und dazu noch verständlich aufklären, dann benötigt er eben auch einmal mehr als eine „Seite“ an Informationen. Dieses Dilemma ist aber nicht unbedingt neu. Unternehmen möchten umfassend aufklären: dann wird ihnen vorgeworfen, die Datenschutzerklärung sei zu lang und kompliziert. Diensteanbieter straffen die Informationen und reduzieren sie auf die Kernthemen: dann wird ihnen vorgeworfen, dass sie nicht ausreichend aufklären und Nutzer in die Irre führen. Es zeigt sich, dass der Anspruch des Rechts und die Umsetzung in der Praxis doch häufig kaum (oder nur mit massiven Verrenkungen) vereinbar sind.