Category Archives: Einwilligung

Datenschutzbehörde: Einsatz von Facebook ‚Custom Audiences‘ ohne Einwilligung ist rechtswidrig

Posted on by

Das bayerische Landesamt für Datenschutzaufsicht (die in Bayern für den privaten Bereich zuständige Aufsichtsbehörde, BayLDA), hat in dieser Woche seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013/2014 vorgestellt. Ich berichtete hierzu bereits im Blog.

In dem Tätigkeitsbericht (auf S. 172) wird unter anderem auch knapp auf die Frage nach dem datenschutzrechtlich konformen Einsatz des Dienstes „Custom Audiences“ von Facebook eingegangen. Die Auffassung der Behörde zu dem Einsatz des Dienstes:

Unternehmen, die das Facebook Produkt „Custom Audiences“ einsetzen, riskieren die Eröffnung eines Bußgeldverfahrens.

Diese Information sollte mindestens für Unternehmen mit Sitz in Bayern, die diese Funktion des sozialen Netzwerkes nutzen, von besonderem Interesse sein. Es ist zudem nicht auszuschließen, dass andere Landesdatenschutzbehörden im Ergebnis zu einer ähnlichen Bewertung des Dienstes kommen.

Um was geht es?

Ganz vereinfacht dargestellt, geht es bei „Custom Audiences“ um eine Funktion, mit der Unternehmen zielgenauere Werbung ausspielen können. Hierzu ist es (in einer Alternative des Dienstes) erforderlich, dass personenbezogene Datensätze, die als Identifikationskennungen eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen gehashed und dann bei Facebook hochgeladen und damit an Facebook weitergegeben werden. Auch Facebook hashed die Mail-Adressen seiner Nutzer und vergleicht die Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Bei einer Übereinstimmung der Werte gehört der jeweils übermittelte Datensatz also einem Facebook-Nutzer.

Ist das Datenschutzrecht anwendbar?

Nun könnte man meinen, aufgrund des Hashens der Daten geht jeglicher Personenbzug verloren. Damit wäre das Datenschutzrecht nicht anwendbar. Dem ist jedoch nicht so. Nach Auffassung des BayLDA könnte Facebook

ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen.

Es liegen also personenbezogene Daten vor, deren Übermittlung an Facebook einer Grundlage (entweder im Gesetz oder eine Einwilligung) bedarf.

Datenschutzkonforme Nutzung?

Der Kollege Thomas Schwenke hat bereits einen ausführlichen Artikel zum Thema „Datenschutz & Facebook Audiences“ verfasst, auf den ich hier hinweisen möchte. Im Endeffekt kommt er zu dem Ergebnis, dass für die Nutzung der E-Mail-Adresse oder Telefonnummer des Nutzers entweder dessen Einwilligung erforderlich ist oder aber ein Unternehmen sich möglicherweise auch auf gesetzliche Erlaubnistatbestände berufen könnte. Dies jedoch sicherlich nicht ohne rechtliches Risiko (Stichwort: ist die Mail-Adresse ein Listendatum im Sinne des § 28 Abs. 3 BDSG?). Eine Datenübermittlung aufgrund einer Interessenabwägung (§ 28 Abs. 1 S. 1 Nr. 3 BDSG) könnte nach Meinung von Thomas und auch wie ich finde eventuell als Erlaubnistatbestand dienen. Jedoch müsste man dazu tatsächlich den Einzelfall begutachten.

Das BayLDA scheint sich diesbezüglich jedoch bereits auf eine einzige Möglichkeit für die wirksame Übermittlung festgelegt zu haben:

Es bedarf somit einer Einwilligung der Personen, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden.

Die Behörde weist zudem abschließend darauf hin, dass der Einsatz des Dienstes ihrer Ansicht nach ohne Einwilligung der Nutzer eine Ordnungswidrigkeit darstellt, die entsprechend mit Bußgeldern sanktioniert werden könne.

Fazit

Unternehmen, die „Facebook Audiences“ nutzen, sollten diese Information daher, zumindest bei Sitz in Bayern, ernst nehmen und eventuell die eigenen Prozesse entsprechend anpassen. In Panik sollte man meines Erachtens nicht ausbrechen, da es zumindest (je nach Einzelfall) auch Argumente für eine datenschutzkonformen Einsatz ohne Einwilligung geben kann.

Datenschutzbehörde kritisiert Big Data-Analysen in der Fußball-Bundesliga

Posted on by

Am vergangenen Freitag hat die Landesdatenschutzbeauftragte in Bremen ihren Jahresbericht für das Jahr 2014 (PDF) vorgestellt. In dem Bericht geht es unter anderem auch um Big Data-Analysen im Zusammenhang mit der Fußball-WM 2014 in Brasilien und den Einsatz modernen Analysetechnologien in der Fußball-Bundesliga.

In Ihrem Jahresbericht verweist die Landesdatenschützerin auf Presseberichte (aus dem Handelsblatt), nach denen in der Bundesliga unter anderem der TSG 1899 Hoffenheim und der FC Bayern München bei der Auswertung von Spielen und der Leistung der eigenen Spieler auf die Technologie der Softwarefirma SAP setzen.

Nach Auffassung der Landesdatenschützerin richtet sich die Rechtmäßigkeit der Verarbeitung personenbezogener Daten der Fußballspieler im Rahmen der Big Data-Analysen allein nach § 32 des Bundesdatenschutzgesetzes (BDSG). Denn die Spieler befinden sich mit dem jeweiligen Verein in einem Beschäftigtenverhältnis. Personenbezogene Daten der Fußballspieler dürfen im Rahmen einer solchen Rechtsbeziehung nach § 32 Abs. 1 S. 1 BDSG

für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Nach Ansicht der Landesdatenschützerin sind jedoch Datenanalysen zum Zwecke der Steigerung der Leistung einzelner Spieler oder auch der Effektivität der Mannschaftsleistung nicht von diesem Erlaubnistatbestand erfasst. In ihrem Jahresbericht führt sie zu der Erlaubnis des § 32 Abs. 1 S. 1 BDSG aus:

Von wirtschaftlichem oder sportlichem Erfolg, der durch Datenverarbeitungen gefördert werden soll, steht da nichts. (Jahresbericht, S. 11)

Bereits diese Auffassung ist meiner Ansicht nach zu eng. Natürlich kann in einem allgemein gültigen Bundesdatenschutzgesetz nichts von „wirtschaftlichem und sportlichen Erfolg“ stehen. Es handelt sich nicht um ein „Fußballdatenschutzgesetz“ oder ähnliches. Die Vorschrift ist absichtlich offen und neutral formuliert, um dem weiten Anwendungsbereich des BDSG zu entsprechen.

Zudem: was, wenn nicht der sportliche und sich damit logischerweise einstellende wirtschaftliche Erfolg ist Gegenstand des Beschäftigungsverhältnisses zwischen einem Fußballverein und seinem angestellten Spieler? Zur Durchführung des Beschäftigungsverhältnisses kann es meiner Ansicht nach daher durchaus erforderlich sein, die während eines Spiels gesammelten Daten auszuwerten.

Man mag meinen, dass als datenschutzrechtlicher „Ausweg“ dann noch die Einwilligung des Fußballspielers in Betracht kommt. Denn wenn doch der Spieler selbst mit der Analyse der Daten einverstanden ist, dann kann doch wohl kein Zweifel an der Rechtmäßigkeit der Datenverarbeitung bestehen. Doch leider sieht die Landesdatenschützerin (und im Übrigen auch viele andere Landesdatenschützer) auch dieses Vorgehen als rechtlich zweifelhaft an. Die einer Einwilligung notwendig innewohnende Freiwilligkeit soll nämlich in einem Beschäftigungsverhältnis nicht gegeben sein. Damit würde eine wichtige Voraussetzung für die Wirksamkeit der Einwilligung fehlen. Die Landesdatenschutzbeauftragte führt aus:

auch im Verhältnis zwischen hoch verdienenden Bundesligaprofis und ihren Vereinen muss an die Freiwilligkeit von Einwilligungen ein Fragezeichen gesetzt werden. (Jahresbericht, S. 11)

Auch diese Auffassung ist meiner Ansicht nach zumindest angreifbar. Denn zu Ende gedacht würde man damit den betroffenen Arbeitnehmer, hier den Fußballprofi, datenschutzrechtlich entmündigen. Man würde ihm die grundrechtlich geschützte Möglichkeit nehmen, sein Recht auf informationelle Selbstbestimmung auszuüben, wenn für die Frage der Zulässigkeit der Einwilligung nur noch objektive Kriterien und Perspektiven Dritter entscheidend wären.

Sind also die derzeit in der Fußball Bundesliga durchgeführten Big Data-Analysen datenschutzrechtswidrig? Ich denke, dass die Datenanalysen in deutschen Fußballvereinen durchaus datenschutzrechtlich begleitet werden sollten, um, falls erforderlich, entsprechend steuernd eingreifen zu können. Eine generelle Unzulässigkeit der Analysen kann ich jedoch nicht erkennen.

Abmahnung bei Datenschutzverstößen: Bundesrat nimmt Stellung und will noch mehr (Update)

Posted on by

Am 4. Februar 2015 hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Ich berichtete hierzu im Blog. Im Rahmen des ordentlichen Gesetzgebungsverfahrens, hat sich nun auch der Bundesrat mit dem Gesetzesentwurf zu befassen und wird auf seiner nächsten Sitzung am 27. März 2015 über die eigenen Empfehlungen hierzu beraten.

Die Empfehlungen des federführenden Rechtsausschusses, des Ausschusses für Agrarpolitik und Verbraucherschutz, des Ausschuss für Innere Angelegenheiten und des Wirtschaftsausschusses wurden nun veröffentlicht (BR-Drs. 55/1/15, PDF) und bergen einige Überraschungen. Das Dokument enthält die Vorschläge jedes Ausschusses und es werden nicht alle dort aufgeführten Vorschläge in die finale Stellungnahme des Bundesrates aufgenommen, da sich die Vorschläge teilweise auch ausschließen. Dennoch möchte ich nachfolgend auf einige der Empfehlungen der Ausschüsse eingehen, gerade weil auch völlig neue Vorschläge gemacht werden.

Kein genereller Anspruch auf Beseitigung
Der Wirtschaftsausschuss gibt zu bedenken (Ziff. 5), dass bislang kein Bedarf für einen Beseitigungsanspruch im Unterlassungsklagengesetz (UKlag) gesehen wurde und dieser nun im Rahmen des Gesetzesentwurfs neu eingeführt werden soll. Sollte der Beseitigungsanspruch generell und nicht nur spezifisch für Verstöße gegen das Datenschutzrecht eingeführt werden, bestünde vielmehr die Gefahr, dass die Unternehmen in diesem Bereich weitgehenden Forderungen ausgesetzt werden, deren finanzieller und organisatorischer Aufwand in keinem Verhältnis zu der begangenen Verletzung des Verbraucherschutzes stünden.

Erweiterung des Verletzungstatbestandes in § 2 Abs. 2 S. 1 Nr. 11 UKlaG
Der Ausschuss für Agrarpolitik und Verbraucherschutz schlägt vor (Ziff. 6), den Wortlaut der vorgeschlagenen Nr. 11 auf jenen des ursprünglichen Referentenentwurfs zu ändern und damit zu erweitern. Es soll dann heißen:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Dem Ausschuss für Verbraucherschutz ist dabei ein Dorn im Auge, dass der Gesetzesentwurf der Bundesregierung den Anwendungsbereich der Nr. 11 grundsätzlich auf Vorschriften beschränkt, „welche die Zulässigkeit regeln“. Zur Begründung führt der Ausschuss aus, dass insbesondere Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung nach den §§ 33, 34 und 35 Bundesdatenschutzgesetz (BDSG) erfasst werden sollten. Auch die Beschränkung der vorgeschlagenen Nr. 11 auf Datenverarbeitungen zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken kritisiert der Ausschuss.

Im Ergebnis strebt man hier also erneut jene unbestimmte Ausweitung der Vorschrift an, die bereits nach Veröffentlichung des Referentenentwurfs kritisiert und im Gesetzesentwurf folgerichtig nicht übernommen wurde.

Dieser Vorschlag des Ausschusses für Verbraucherschutz konkurriert mit einem Vorschlag des Ausschuss für Wirtschaft (Ziff. 7), der darum bittet, im weiteren Gesetzgebungsverfahren zu prüfen, wie die datenschutzrechtlichen Vorschriften, die für eine Verbandsklage in Betracht kommen sollen, konkretisiert und weiter eingegrenzt werden können. Der im Gesetzesentwurf verwendete Begriff der „vergleichbaren kommerziellen Zwecke“ erscheint nämlich zu weitgehend. Denn haben Unternehmen Kontakt mit Verbrauchern, ist eigentlich per se von einer kommerziellen Verarbeitung von Daten auszugehen. Wäre dann also praktisch jede Datenverarbeitung eines Unternehmens mit Bezug zu einem Verbraucher eine solche für „vergleichbare kommerzielle Zwecke“? Der Anwendungsbereich ist für den Wirtschaftsausschuss damit unklar und stellt für die Unternehmen eine Rechtsunsicherheit dar.

Gefahr paralleler Rechtstreitigkeiten durch Verbraucherverbände und Datenschutzbehörden
Der Innen- als auch der Wirtschaftsausschuss (Ziff. 11) möchten im weiteren Gesetzgebungsverfahren die Pflicht für Gerichte zur Anhörung der zuständigen Datenschutzbehörde um eine Verpflichtung der anspruchsberechtigten Stellen ergänzen. Danach soll die zuständige Datenschutzaufsichtsbehörde bereits vor außergerichtlicher Geltendmachung oder vor Klageerhebung unterrichtet und angehört werden. Die Datenschutzbehörden besitzen schließ0lich auch einen gesetzlichen Beratungsauftrag, auch für Unternehmen (§ 38 Abs. 1 S. 2 BDSG). Dieser Beratungsauftrag sowie das Vertrauen von Unternehmen in die Verbindlichkeit von Aussagen der Datenschutzaufsichtsbehörden würden nach Ansicht der beiden Ausschüsse erheblich geschwächt, wenn Aufsichtsbehörden bei ihrer Beratungstätigkeit keine Kenntnis von etwaigen durch die Verbände eingeleiteten, gleich gelagerten Parallelverfahren hätten.

Neu: Einführung eines allgemeinen Koppelungsverbots im BDSG
Sowohl der Rechtsausschuss als auch der Innenausschuss (Ziff. 12) schlagen völlig unabhängig von dem ursprünglichen Gesetzesentwurf eine Anpassung des § 28 Abs. 3b BDSG vor. Es soll ein allgemeines Koppelungsverbots im Datenschutzrecht eingeführt werden. Derzeit sieht § 28 Abs. 3b BDSG noch vor, dass die verantwortliche Stelle den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen abhängig machen darf, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Der letzte Teil des Satzes soll nun jedoch gestrichen werden: „Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen.“

Die mit diesem Vorschlag für die Einführung eines allgemeinen Koppelungsverbots verbundene Einschränkung der Vertragsgestaltungsfreiheit der Unternehmen erscheint für die Ausschüsse gerechtfertigt. Der Vorschlag zur entsprechenden Anpassung des BDSG ist jedoch nicht neu. Bereits im Rahmen der letzten BDSG-Novelle wurde ein solches allgemeines Kopplungsverbot durch den Bundesrat vorgeschlagen (BR-Drs. 4/09), jedoch am Ende nicht in das Gesetz aufgenommen.

Neu: Auskunftsrecht für Betroffene von Persönlichkeitsrechtsverletzungen
Der Rechtsausschuss schlägt zudem apart von den Anpassungen des Gesetzesentwurfs vor (Ziff. 15), dass im weiteren Gesetzgebungsverfahren geprüft werden möge, ob zur Umsetzung der Rechtsprechung des Bundesgerichtshofs (BGH) vom 1. Juli 2014 (Az. VI ZR 345/13) eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Persönlichkeitsrechtsverletzers erlangen kann. Der BGH hatte in diesem Urteil entschieden, dass ein Geschädigter mangels datenschutzrechtlicher Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG keinen Anspruch gegenüber einem Online-Bewertungsportal auf Auskunft über Namen und Anschrift desjenigen Nutzers habe, der in dem Portal unwahre und damit unzulässige Tatsachenbehauptungen über ihn aufstellt (hierzu der Kollege Thomas Stadler in seinem Blog). Der Portalbetreiber als Dienstanbieter i. S. d. TMG ist nach der Rechtsprechung daher nicht befugt, ohne die Einwilligung des Nutzers Auskünfte über dessen personenbezogene Daten zu erteilen. Für den Rechtsausschuss ist das Fehlen des Auskunftsanspruchs bedenklich und stellt eine Regelungslücke dar, welche durch den Gesetzgeber geschlossen werden muss.

Fazit
Die Ausschüsse im Bundesrat scheinen den Gesetzesentwurf genutzt zu haben, um nicht nur an dem Entwurf selbst inhaltlich Anpassungen vorzuschlagen, sondern auch noch weitere datenschutzrechtliche Themen, die eventuell schon etwas länger auf der gesetzgeberischen To-Do-Liste stehen, in das Gesetzgebungsverfahren einzuführen. Ob ein solches Vorgehen, unabhängig von der inhaltlichen Diskussion, in jeder Hinsicht begrüßenswert erscheint, mag man positiv oder negativ beantworten. Innenminister de Maizère hat erst letzte Woche angekündigt, dass man die Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) bis Juni im Rat abschließen möchte, um dann die Verhandlungen mit dem Parlament und der Kommission aufzunehmen. Wenn dann etwa im Jahre 2015 die Datenschutz-Grundverordnung verbindliches Recht in Europa wird, so müssen sich deutsche Regelungen zum Datenschutz an diesen Vorgaben messen lassen und werden aufgrund des Vorrangs des EU-Rechts im Zweifel unwirksam sein. Auch in der DS-GVO soll es etwa Vorgaben für ein Verbandsklagerecht von Verbraucherorganisationen geben. Die genauen Voraussetzungen und die Reichweite des Klagerechts ist derzeit aber noch umstritten. Bestehende deutsche Regelungen, die nun auf die schnelle noch ins Gesetz gegossen werden, würden dann jedoch ihre Wirksamkeit verlieren. Man würde also gesetzliche Vorgaben mit bereits jetzt bekannter Haltbarkeit schaffen. Der Sinn hinter einem solchen Vorgehen erschließt sich mir nicht unbedingt.

Update vom 27.3.2015:
Heute hat der Bundesrat über die oben erwähnten Ausschussempfehlungen abgestimmt. In der angenommenen Stellungnahme des Bundesrates (BR-Drs. 55/15(B)) sind die von mir oben angesprochenen Änderungswünsche, insbesondere die „Rückkehr“ zum Referentenentuwrf, das Kopplungsverbot und der Vorschlag zur Einführung eines Auskunftsanspruchs im TMG, enthalten. Es bleibt abzuwarten, wie und ob die vom Bundesrat vorgeschlagenen Änderungen im weiteren Gesetzgebungsverfahren Bestand haben werden.

Europäische Datenschutzbehörden prüfen Cookie-Einsatz auf beliebten Webseiten

Posted on by

Insgesamt acht europäische Datenschutzaufsichtsbehörden haben 478 besonders beliebte Webseiten und den datenschutzgerechten Einsatz von Cookies auf diesen Internetseiten untersucht, das gab die Art. 29 Datenschutzgruppe heute in einer Pressemitteilung (PDF) bekannt.

Mit dem Ergebnis der Prüfung waren die beteiligten Datenschutzbehörden insoweit zufrieden, als dass Webseitenbetreiber grundsätzlich über den Einsatz von Cookies informierten. Jedoch kritisiert die Art. 29 Datenschutzgruppe, dass viele Webseiten eine sehr große Anzahl an Cookies einsetzen, dass die automatischen Löschdaten der Cookies oft übertrieben lang vordefiniert seien und dass der Inhalt der dargebotenen Informationen zur Aufklärung nicht immer zufriedenstellend war. Zudem würden viele der geprüften Webseiten keine wirksame Einwilligung in den Einsatz von Cookies einholen.

Insbesondere auf den zuletzt genannten Kritikpunkt, das Fehlen einer wirksamen Einwilligung der Webseitenbesucher, gehen die Datenschützer in ihrer Pressemitteilung näher ein. Nach Ansicht der Art. 29 Datenschutzgruppe ist eine solche Einwilligung aufgrund der Vorgaben der europäischen Richtlinie 2002/58/EG (sog. E-Privacy-Richtlinie und deren Art. 5 Abs. 3) nicht nur beim Einsatz von Cookies, sondern etwa auch bei Technologien die dem Browser-Fingerprinting erforderlich. Die Einwilligung muss nach diesem Art. 5 Abs. 3 immer dann eingeholt werden, wenn Informationen gespeichert werden oder auf Informationen zugegriffen wird, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind.

Die beteiligten Behörden behalten sich ausdrücklich Durchsetzungsmaßnahmen in ihren Mitgliedstaaten auf der Grundlage der Ergebnisse der Prüfung vor.

Deutsche Behörden waren laut der Pressemitteilung der Art. 29 Datenschutzgruppe nicht an der Prüfaktion beteiligt. Erst letzte Woche habe ich hier über eine Entschließung der deutschen Datenschutzbehörden berichtet, die den deutschen Gesetzgeber kritisieren und eine richtlinenkonforme Umsetzung der E-Privacy-Richtlinie in das deutsche Recht fordern. Ihrer Ansicht nach wird nämlich im deutschen Datenschutzrecht nicht klar geregelt, dass der Einsatz von Cookies die Einwilligung von Betroffenen erfordert.

Bundesregierung: Gesundheits-Apps der Versicherungen nur mit Einwilligung möglich

Posted on by

Das Thema Gesundheitsdaten und Apps macht auch vor der deutschen Politik nicht halt. Letzte Woche hatte ich bereits berichtet, dass die europäischen Datenschützer kürzlich eine Stellungnahme zum Datenschutz bei Lifestyle-Apps und die Verarbeitung von Gesundheitsdaten veröffentlicht haben. Mobile Geräte und Apps auf solchen Geräten, um den eigenen Tagesablauf aufzuzeichnen, werden jedoch nicht unbedingt nur aus einem Fitness- oder Lifestyle-Gesichtspunkt angeschafft. Auch Versicherungsunternehmen sind an den so gesammelten Gesundheitsdaten interessiert, etwa um die Verträge und Tarife passgenauer auf ihre Kunden abstimmen zu können.

Eine nun veröffentlichten Antwort (PDF) der Bundesregierung auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag, setzt sich ebenfalls genauer mit der Frage des Datenschutzes bei Gesundheits-Apps und den Rechtsgrundlagen der Datenverarbeitung durch Versicherungen auseinander.

Die grundsätzliche Aussage der Bundesregierung:

Aus datenschutzrechtlicher Sicht ist die kontinuierliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten der Versicherten zu ihrem Gesundheitszustand durch private Krankenversicherungsunternehmen nur nach vorheriger ausdrücklicher Einwilligung der Versicherten zulässig.

Die Bundesregierung geht in ihrer Antwort noch etwas genauer auf die Anforderungen des hier einschlägigen § 4a Abs. 3 BDSG ein.

Bedarf für eine Gesetzesänderung sieht die Bundesregierung vor dem Hintergrund der laufenden Verhandlungen zur Datenschutz-Grundverordnung auf europäischer Ebene jedoch nicht. Man werde dort dafür eintreten, dass eine Einwilligung auch in Zukunft nur dann wirksam ist, wenn sie informiert und freiwillig erteilt wird. Darüber hinaus bestehe kein Bedarf, neue gesetzliche Regelungen zu treffen.

Interessant ist noch die Antwort der Bundesregierung auf die Frage, wie in Zukunft sichergestellt werden soll, dass Personen, die ein Angebot der Versicherungen zum Aufzeichnen ihrer Gesundheitsdaten über Apps bewusst nicht in Anspruch nehmen möchten, in der Folge nicht etwa höhere Versicherungsbeiträge zahlen müssen. Die Bundesregierung verweist darauf, dass § 203 des Versicherungsvertragsgesetzes (VVG) abschließend regele, unter welchen Voraussetzungen die Beiträge in der privaten Krankenversicherung erhöht werden können. Eine Weigerung von Betroffenen, an erweiterten Datensammlungen bezüglich ihrer Gesundheit und ihres Lebenswandels durch Apps oder andere mobile Anwendungen teilzunehmen, erfülle die Voraussetzungen des § 203 VVG nicht.

Auch weist die Bundesregierung darauf hin, dass es sich bei den so gesammelten Gesundheitsdaten um sehr persönliche und sensible Informationen handeln kann. Laut der Antwort haben daher die Versicherungsunternehmen sicherzustellen, dass Aspekte der Datensicherheit ausreichend berücksichtigt werden und die im § 9 BDSG vorgegebenen technischen und organisatorischen Maßnahmen (wie z. B. durch Verwendung eines dem aktuellen Stand der Technik entsprechenden Verschlüsselungsverfahrens) getroffen werden, um etwa zu vermeiden, dass durch Fehler oder kriminelle Energie personenbezogene Daten über das Versicherungsunternehmen hinaus verbreitet werden können.

Jedoch sieht die Bundesregierung nicht nur die Versicherungen in der Pflicht, wenn es um den Einsatz neuer Techniken und Methoden geht, Gesundheitsdaten zu sammeln und auszuwerten. Laut der Antwort geht die Regierung davon aus, dass

Versicherte sich der besonderen Bedeutung ihrer Daten zum persönlichen Lebenswandel und ihrem Gesundheitsverhalten bewusst sind und daher sorgsam und zurückhaltend mit der Weitergabe entsprechender Informationen umgehen.

Datenschutz und Lifestyle-Apps: Europäische Datenschützer fordern Schutz der Gesundheitsdaten

Posted on by

Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.

Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.

Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.

Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.

Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.

Gesetzliche Grundlage der Datenverarbeitung
Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.

Zu beachtende Datenschutzprinzipien
Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.

Datenschutzreform: Deutschland möchte Beschäftigtendatenschutz national regeln

Posted on by

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, KOM (2012)11, PDF) gehen auch im Jahr 2015 weiter. Ziel der Verordnung stellt die Vereinheitlichung des europäischen Datenschutzrechts dar, wobei die DS-GVO anders als derzeit die Datenschutz-Richtlinie, zwingende, durch die Mitgliedstaaten nicht mehr in nationales Recht umzusetzende, Vorgaben machen würde.

Doch ob es am Ende tatsächlich bei solch durchgehenden und für die Mitgliedstaaten zwingeden Vorschriften in der DS-GVO bleibt, kann immer mehr bezweifelt werden. So zeigt sich in den Verhandlungen im Rat der Europäischen Union, dass große Sympathie dafür besteht, gerade im Bereich der öffentlichen Verwaltung sog. Öffnungsklauseln in die DS-GVO einzubauen, die den Mitgliedstaaten eine eigene nationale Ausgestaltungen der Regelungen zur Datenverarbeitung in bestimmten Themenfeldern, z. B. Steuern oder Sozialversicherungen, ermöglichen sollen.

Beschäftigtendatenschutz
Ein Dokument (PDF) aus dem November 2014 zeigt nun, dass Deutschland diese Möglichkeit von abweichenden nationalen Regelungen jedoch nicht nur für den öffentlichen Bereich favorisiert. Auch der Beschäftigtendatenschutz und der Umgang mit Arbeitnehmerdaten soll in den einzelnen EU-Mitgliedstaaten selbstständig geregelt werden können, solange solche Regelungen noch dem grundsätzlichen Schutzniveau der DS-GVO entsprechen bzw. darüber hinausgehen.

Tarifverträge
Für die deutsche Delegation von besonderer Bedeutung ist dabei, dass auch zukünftig Tarifverträge und Betriebsvereinbarungen als Grundlagen für Datenverarbeitungen innerhalb eines Unternehmens anerkannt werden. Unter dem geltenden deutschen Datenschutzrecht ist dies bereits der Fall. Derzeit lasse sich, so die deutschen Delegation, aus dem Entwurf der DS-GVO jedoch in keinster Weise ableiten, ob ein Tarifvertrag oder eine Betriebsvereinbarung auch in Zukunft als Grundlage einer Datenverarbeitung dienen können. Die EU-Kommission habe diesbezüglich zwar auf Art. 6 Abs. 1 c) DS-GVO (Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung) verwiesen. Dieser Schluss ist für die deutsche Delegation jedoch nicht zwingend und weder aus dem Text der DS-GVO selbst, noch aus den Erwägungsgründen abzuleiten.

Einwilligung
Auch die Besonderheiten einer datenschutzrechtlichen Einwilligung des Arbeitnehmers in seinem Beschäftigungsverhältnis sollen stärker Berücksichtigung finden. Dazu schlägt die deutsche Delegation vor, dass in Zukunft das jeweilige nationale Datenschutzrecht die Anfroderungen festlegen kann, nach denen eine datenschutzrechtliche Einwilligung im Arbeitsverhältnis erteilt werden kann. Problematisch an derartigen Einwilligungen ist häufig ihre Wirksamkeit, da man an dem Erfordernis der „Freiwilligkeit“ einer solchen Willensbekundung im Zusammenhang mit einem Beschäftigungsverhältnis zweifeln kann.

Sollten sich solche Vorschläge im Ergebnis durchsetzen, wird man sich natürlich die Frage stellen müssen, inwiefern die angedachte europaweite Vereinheitlichung des Datenschutzrechts mit der DS-GVO noch erzielt werden kann. Denn viele nationale Spezialregelungen würden freileich dazu führen, dass man, trotz einer allgemeinen gemeinsamen und verbindlichen Grundlage, in der Praxis doch wieder verschiedene Vorgaben im Umgang mit personenbezogenen Daten innerhalb Europas zu beachten hätte.

Eine aktuelle Liste an den Verhandlungsdokumenten des Rates zur Datenschutz-Grundverordnung findet man hier im Blog.

Bundesregierung: Geltende Datenschutzvorgaben für Werbung & Marketing sind ausreichend

Posted on by

Die Bundesregierung hat mit Datum vom 6. Januar 2015 einen Bericht „über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes (BSDG) im Rahmen der zweiten BDSG-Novelle“ veröffentlicht (PDF) (BT-Drs. 18/3707).

Novellierung des BDSG
Die §§ 28 und 29 BDSG wurden in der Novelle des Jahres 2009, vor allem mit Blick auf die Neureglung des Datenumgangs im Adresshandel und bei Werbung, angepasst und nach § 48 BDSG hat die Bundesregierung den Auftrag, bis zum 31. Dezember 2014 über die Auswirkungen der Gesetzesänderungen zu unterrichten. Der nun vorliegende Bericht gibt zum einen Überblick darüber, wie aus Sicht der Aufsichtsbehörden die Vorgaben der §§ 28 und 29 BDSG eingehalten werden und wo diese noch Defizite sehen. Auch wird auf Stellungnahmen aus der Wirtschaft eingegangen.

Häufigste Verstöße
Laut den Angaben der deutschen Datenschutzbehörden finden die meisten Verstöße gegen das Datenschutzrecht (bzw. teilweise auch die Vorgaben des § 7 UWG) aufgrund folgender Konstellationen statt:

Interessant ist vor allem das durch die Bundesregierung gezogene Fazit in dem Bericht. Danach wurde das Ziel der zweiten BDSG-Novelle grundsätzlich erreicht. Die strukturellen Veränderungen im Rahmen der Novelle haben, so die Bundesregierung

den Anfall von Daten gesenkt, ihren Schutz, soweit sie anfallen, gesteigert und die Transparenz für die Betroffenen sowie ihre Widerrufsrechte gestärkt.

Zwar verneint die Bundesregierung nicht, dass es auch noch Probleme bei der Einhaltung der Vorgaben der §§ 28, 29 BDSG in der Praxis gebe. Diese Probleme beziehen sich jedoch vor allem auf Rechtsverstöße. Man könnte also auch sagen, dass eine Gesetzesänderung nicht daran ändert wird, dass auch in Zukunft gegen gesetzliche Vorgaben verstoßen werde. Daher schlägt auch die Bundesregierung vor, dass diese noch bestehenden Probleme vor allem durch stärkere Kontrollen und Sanktionierungen der Aufsichtsbehörden verringert werden sollen. „Legislative Abhilfemöglichkeiten“ sieht die Bundesregierung als wenig zielführend an.

Auch geht der Bericht auf die Auswirkungen der geplanten europäischen Datenschutz-Grundverordnung ein. Die klare Aussage der Bundesregierung:

Unabhängig von seinem Inhalt wird dieser EU-Rechtsakt erhebliche Auswirkungen auf das nationale Datenschutzrecht haben.

Fazit
Datenschutzrecht und Werbung schließen sich sicherlich nicht aus. Dennoch gilt es gerade in diesem Bereich besonderen Wert auf die Einhaltung der gesetzlichen Anforderungen zu legen. Die bayerische Datenschutzbehörde hatte erst im November 2014 angekündigt, dass sie in Zukunft wird das BayLDA ihre eher zurückhaltende Praxis bei der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren werde. Erste Hinweise und Hilfestellungen zum Thema „Werbung und Datenschutz“ lassen sich etwa den „Anwendungshinweisen der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke“ (PDF) entnehmen.

Bis zu 15 Mio. Euro: Niederländische Datenschutzbehörde verhängt Zwangsgeld gegen Google

Posted on by

Die niederländische Datenschutzbehörde (CBP) gab gestern bekannt, dass sie im Zuge behördlicher Anordnungen gegenüber Google ein Zwangsgeld verhängt habe, dessen Höhe bis zu einem Betrag von 15 Mio. Euro steigen kann.

Nach Angaben der Behörde bietet Google seine Dienste in den Niederlanden unter Verstoß gegen das nationale Datenschutzrecht an. Im November 2013 hat die CBP ein umfassendes Gutachten (PDF, Englisch) veröffentlicht, in dem die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch die Dienste von Google untersucht wird. Auf der Grundlage der Ergebnisse dieses Gutachtens geht die Behörde nun gegen das amerikanische Unternehmen vor.

Die CBP fordert Google insbesondere zu drei umzusetzenden Maßnahmen auf:

  • Das Unternehmen muss die Einwilligung seiner Nutzer einholen, wenn es personenbezogene Daten aus verschiedenen Diensten kombiniert. Die Einwilligung müsse „ohne jeden Zweifel“ erfolgen, was derzeit nicht sichergestellt sei. So stört sich die Behörde insbesondere daran, dass Google Informationen zu dieser Verknüpfung von Daten in seinen Nutzungsbedingungen und der Datenschutzerklärung bereitstelle, was jedoch nicht ausreichend sei.
  • Zudem müssten die Informationen in den Datenschutzerklärungen darüber, wie verschiedene Dienste von Google personenbezogene Daten nutzen, deutlicher und umfassender bereitgestellt werden.
  • Auch solle Google deutlich machen, dass es sich bei YouTube um einen Dienst von Google handelt. In den Niederlanden habe Google hinsichtlich dieser letzten Forderungen bereits Maßnahmen ergriffen.

Das Vorgehen der CBP steht im Zusammenhang mit einer europaweit angelegten Prüfung der Datenschutzbestimmungen und Datenverarbeitung durch Google, die seit 2012 durch die französische Datenschutzbehörde koordiniert und im Rahmen der sog. Art. 29 Datenschutzgruppe durchgeführt wird. In mehreren Ländern haben Datenschutzbehörden bereits verwaltungsrechtliche Verfahren gegen Google eröffnet. So etwa die spanische Datenschutzbehörde (mein Beitrag) als auch die französische Aufsichtsbehörde (mein Beitrag). In Deutschland hat der Hamburgische Datenschutzbeauftragte im September 2014 eine Anordnung gegen das Unternehmen erlassen.

Erst jüngst hat die Art. 29 Datenschutzgruppe im Zusammenhang mit diesen Verfahren auch eine Stellungnahme veröffentlicht, wie aus ihrer Sicht die Datenschutzerklärung von Google angepasst werden könnte, um den datenschutzrechtlichen Ansprüchen in Europe zu genügen. Man könnte auch von einem „Hausaufagbenheft“ für Google sprechen (mein Beitrag dazu).

In den Niederlanden hat Google nun bis Februar 2015 Zeit, um die Forderungen der CBP umzusetzen. Sollte das Unternehmen dem nicht nachkommen, so kündigt die Behörde bereits an, dass ein Zwangsgeld bis zu einer Höhe von 15 Mio. Euro verhängt werden könnte.

Datenschutzreform: Deutschland will Einwilligungen der AGB-Kontrolle unterwerfen

Posted on by

Die deutsche Delegation im Rat der Europäischen Union möchte datenschutzrechtliche Einwilligungserklärungen unter der zukünftigen Datenschutz-Grundverordnung (DS-GVO) zwingend den Anforderungen des AGB-Rechts unterwerfen. Ein entsprechender Änderungsvorschlag vom 3. November 2014 (PDF) wurde der zuständigen Ratsarbeitsgruppe (Dapix) zugeleitet.

Nach der Begründung des Dokumentes werden Betroffene häufig mit Einwilligungserklärungen konfrontiert, die Bestandteil von langen und komplexen vorformulierten Vertrags- oder Nutzungsbedingungen sind, die der für die Verarbeitung Verantwortliche für eine Vielzahl von Fällen stellt und auf deren Inhalt der Betroffene keinen Einfluss nehmen kann. Um Verbraucher in solchen Fällen zu schützen, sieht das geltende AGB-Recht das Verbot von missbräuchlichen Klauseln in Verbraucherverträgen vor.

In Anlehnung an dieses verbraucherschutzrechtliche Instrument, möchte die deutsche Delegation derartige Schutzmechanismen nun auch in der DS-GVO verankern (Art. 7 Abs. 2 a). Laut dem Dokument soll

die Möglichkeit einer objektivierten Inhaltskontrolle von vorformulierten Einwilligungserklärungen

vorgeschlagen werden. Die so in das Datenschutzrecht neu einzuführende

Inhaltskontrolle ermöglicht insbesondere eine objektivierte Kontrolle, ob der Inhalt der Einwilligungserklärung alle Transparenzanforderungen erfüllt.

Auch eine unangemessene Benachteiligung (bekannt aus § 307 Abs. 2 BGB) von Betroffenen durch Einwilligungserklärungen, will die deutsche Delegation unterbinden. Daher sieht der Vorschlag eine Definition von Situationen in der DS-GVO vor, in denen eine unangemessen Benachteiligung des Betroffenen im Zweifel vorliegen und die Einwilligungserklärung unwirksam sein soll (Art. 7 Abs. 2 b).

Die von der deutschen Delegation unterbreitet Vorschläge sind eigentlich nur aus dem geltenden AGB-Recht, also vor allem bei der Prüfung von zivilrechtlichen Verbraucherverträgen, bekannt. Zwar wenden deutsche Gericht die Vorgaben der §§ 305 ff. BGB häufig auch auf Datenschutzerklärungen und dort enthaltene Einwilligungen an. Es ist jedoch nicht unumstritten, ob die jedem bekannten Datenschutzerklärungen (also Informationen zum Umgang mit personenbezogenen Daten) tatsächlich Verträge darstellen, welche einer AGB-Kontrolle zugänglich sind. Die deutsche Delegation beabsichtigt nun ein neues datenschutzrechtliches, quasi „AGB-Prüfungsregime“, fokussiert auf Einwilligungserklärungen, in die geplante DS-GVO einzuführen. Damit soll das zukünftige Datenschutzrecht, zumindest im Bereich der Einwilligungserklärungen, wohl auch dem Verbraucherschutzrecht und den dort bekannten Schutzmeachnismen angenähert werden. Auch erwähnt der Vorschlag, dass ein Vorgehen gegen intransparente oder den Betroffenen unangemessen benachteiligende Einwilligungserklärungen über ein Verbandsklagerecht (also etwa für Verbraucherschutzverbände) möglich sein soll.