Merkel: Wir brauchen eine digitale Agenda!

Bundeskanzlerin Merkel hat sich in ihrem wöchentlichen Podcast, kurz vor der Eröffnung der diesjährigen CeBit Messe in Hannover, mit dem Thema digitale Wirtschaft, Breitband, Datenschutz und Datensicherheit beschäftigt. Das Video ist hier abrufbar, die Textversion hier.

Erfreulich ist, dass die Thematik um die digitale Zukunft Deutschlands und auch Europas einen immer höheren Stellenwert in Regierungskreisen zu erreichen scheint. Dies scheint mir auch geboten. Wie ich bereits zum Thema „Internet der Dinge“ geschrieben hatte, sehe ich gerade für Deutschland doch ein Potential, um sich hier am Weltmerkt zu etablieren und Standards zu setzen.

Digitale Agenda
Die Bundeskanzlerin erklärt in dem Interview, dass die Bundesregierung eine Digitale Agenda von 2014 bis 2017 aufstellen werde. Verantwortlich seien dabei im Kern das Wirtschaftsministerium, das Ministerium für Verkehr und Infrastruktur und das Bundesministerium des Innern. Nach Ansicht der Bundeskanzlerin handelt es sich hierbei um ein übergreifendes Thema. Der Wohlstand in Deutschland werde maßgeblich davon abhängen, wie die klassische Industrie mit der Verschmelzung der digitalen Welt zurecht komme.

Zum einen geht es der Bundeskanzlerin um die Teilhabe der Bevölkerung an neuen Technologien. Hierfür müsse jedoch die Voraussetzung geschaffen werden, dass alle Bürger auch Zugang zu den Entwicklungen haben und daher der Breitbandausbau vorangetrieben werden. Zweitens möchte die Bundeskanzlerin, vor allem auf europäischer Ebene, einen digitalen Markt schaffen. Europa müsse also attraktiv für Unternehmen werden und diese müssen auch wettbewerbsfähig sein. Derzeit hinke Europa hier hinter Staaten wie Amerika oder asiatischen Ländern hinterher. Zudem geht es der Kanzlerin um den Datenschutz. Das derzeit geltende Datenschutzrecht ist in Europa zersplittert. An der Verabschiedung eines einheitlichen Standards, nämlich der derzeit verhandelten Datenschutz-Grundverordnung, werde gearbeitet. Dies wäre gerade auch für die Ansiedlung neuer Firmen in Europa hilfreich. Jedoch betont die Bundeskanzlerin, dass Deutschland den Anspruch habe, seinen hohen Standard beim Datenschutz nicht aufzugeben. Zuletzt verweist die Kanzlerin auch auf nötige Fortschritte bei der Medienerziehung und Aufklärung.

Das Internet der Dinge und Deutschlands Chance

In der digitalen Wirtschaft werden derzeit grundsätzlich zwei Trends der Zukunft diskutiert. Big Data und das Internet der Dinge, wobei beide Bereiche meines Erachtens nicht strikt voneinander zu trennen sind. Beide Entwicklungen enormes Potential für Deutschland und Europa.

Big Data
Big Data, also die Entwicklung des stetigen Wachstums der weltweiten Datenmassen und die Frage nach dem Umgang mit diesen Datenbergen, darf man wohl als eine logische Entwicklung des technischen Fortschritts einer stetig wachsenden Weltbevölkerung bezeichnen. Immer mehr Menschen nutzen das Internet, ja wachsen mit diesem als gegebene Normalität auf. Sei es über den PC, das Handy oder das Tablet. In den Entwicklungsländern nutzen jedoch derzeit nur 31% der Bevölkerung das Internet (Zahlen für 2013 der International Telecommunication Union der Vereinten Nationen). Das Datenaufkommen dürfte daher auch künftig nicht geringer werden.

Man kann sich nun natürlich fragen, wie man mit dieser Tatsache umgeht und ob man ihr positiv oder skeptisch gegenübersteht. Dabei geht es bereits um so fundamentale Fragen, wie etwa derjenigen der Datensparsamkeit im Datenschutzrecht. Sehen wir Daten als „Gefahr“ an und möchten wir ihre Entstehung im Keim ersticken bzw. regulieren oder erkennen wir ein Potential des wirtschaftlichen und gesellschaftlichen Wohlstandes und lassen die Daten sprudeln. Unternehmen und auch Regierungen dürften grundsätzlich ein großes Interesse an Daten und auch an einem Mehr an Daten besitzen. Ebenso wie die Wissenschaft und Forschung. In welchem Schritt des Lebenszyklus eines Datums man regulierend eingreifen möchte, ist wohl vor allem zu Beginn weniger eine rechtliche, als vielmehr eine ideologische Frage. Hier treffen dann auch kulturelle Unterschiede in der Welt aufeinander. Über die tatsächliche rechtliche Ausgestaltung der Vorgaben der Datennutzung, kann man sich auch trefflich streiten. Wichtig erscheint mir jedoch, dass man auf Grundlage der tatsächlichen Fakten und Entwicklungen das Recht schafft und anpasst.

Internet der Dinge
Das Internet der Dinge, also die Verknüpfung von immer mehr Gegenständen in eigenen Netzwerken oder mit dem Internet selbst, ist meines Erachtens ein ebenso nachvollziehbarer Trend. Bisher waren es das Mobiltelefon, der Laptop und das Tablet. Jedoch sollen in Zukunft nun auch andere Alltags- und Haushaltsgegenstände in den Genuss der Digitalisierung kommen. Hierfür gibt es mehrere Schlagwörter: Smart Home, Smart Car, Wearable Technology etc. Uhren, Armbänder, Brillen, aber auch der Fernseher, die Waschmaschine oder der Kühlschrank, ja teilweise auch die Kleidung selbst. Und nicht zuletzt, des Deutschen liebsten Spielzeug, das Auto. All diese Gegenstände werden Daten erzeugen (wenn man nicht gesetzlich vorschreiben möchte, dass sie es nicht dürfen) und damit ebenfalls zum Wachstum des weltweiten Datenflusses beitragen.

Deutschlands Chance
Diese beiden Entwicklungen vollziehen sich bereits derzeit und werden es, in größerem Umfang, auch in der Zukunft tun. Ob wir wollen oder nicht. Man betrachte nur die Technikaffinität in Amerika oder Asien. Die Frage für Deutschland und für Europa darf meines Erachtens nicht sein „Wollen wir da mitmachen?“, sondern „Wie können wir hier führend werden?“. Denn in den letzten Wochen und Monaten ist auch auf politischer Ebene die Erkenntnis gereift, dass Deutschland, das weltweite als Sinnbild für hervorragende Produkte, Industrietechnik und Ingenieurarbeit gilt, im Bereich der Digitalisierung ins Hintertreffen geraten ist. Große Internetkonzerne haben keine deutschen Wurzeln.

Bundeskanzlerin Merkel konstatierte am Wochenende: „Wohlstand wird nur auf dem Erdteil entstehen, wo auch die neuesten Produkte hergestellt werden“ und „Wir werden die Standards für den Umgang mit Daten mit Sicherheit nicht setzen können, wenn wir die Technologie nicht beherrschen„.

Und hier sehe ich gerade für unsere deutsche Wirtschaft eine enorme Chance. Deutschland ist bekannt für seine hochqualitativen, weltweit gefragten Produkte, auch wenn die Exporte 2013 zurückgingen. Wenn sich nun das Internet mit den „normalen“ Produkten verbindet, dann besitzt die deutsche Wirtschaft doch hervorragende Startvoraussetzungen, um diesen Trend mit zu prägen. Denn die „offline“ Grundprodukte werden bereits hier produziert. Und das erfolgreich. Für die Wirtschaft muss es nun darum gehen, diese vorhandenen Waren dem Internet der Dinge anzupassen, in diese Entwicklung zu investieren und ihnen digitales Leben einzuhauchen. Eigentlich müssten in jedem Industrie- und auch Zuliefererbetrieb, der an der Fertigung von Endkundenprodukte beteiligt ist, bereits Entwicklungen anlaufen, um die Möglichkeiten der Vernetzung zu erforschen und zu implementieren. Unternehmen sollten Think-Tanks und Start-Ups unterstützen, die auf diesem Gebiet arbeiten.

Es mag sein, dass wir die Digitalisierung verschlafen haben und aufholen müssen. Doch der Trend, hin zu einer vernetzten Produktwelt, in der nicht nur die „Modeprodukte“ wie Mobiltelefone oder Tablets, die aus anderen Ländern importiert werden, sondern eben auch Produkte der Industrieparadedisziplinen der deutschen Wirtschaft (Stichwort: Auto), eine wesentliche Rolle spielen, gibt uns gerade diese Möglichkeit der Aufholens. Und auch des Setzens von Standards. In meinen Augen hält das Internet der Dinge enormes Potential für Deutschland und Europa bereit. Das sollten wir nicht verschlafen.

LG Saarbrücken: Todesanzeigen im Internet sind erlaubt

Das Landgericht (LG) Saarbrücken hat mit Urteil vom 14.02.2014 (Az.: 13 S 4/14, derzeit noch nicht online abrufbar) entschieden, dass eine Internetseite mit „virtuellen Grabstätten“ nicht gegen das Datenschutzrecht und das postmortale Persönlichkeitsrecht der verstorbenen Person verstößt, wenn die Daten der Todesanzeige aus allgemein zugänglichen Quellen entnommen wurden. Es wies damit die Berufung des Betreibers der entsprechenden Internetseite gegen ein Urteil des Amtsgerichts (AG) Saarlouis (Az. 29 C 1892/12 (16)) teilweise zurück. In Bezug auf Kommentare unter der entsprechenden Todesanzeige, welche die Witwe des Verstorbenen in ihren Rechten verletzten, änderte das LG das erstinstanzliche Urteil jedoch nur ab (und bestätigte damit im Prinzip insoweit die Ansicht des AG).

Dieser, zugegebenermaßen etwas ungewöhnliche Fall, zeigt deutlich, dass nicht notwendigerweise jeder Umgang mit personenbezogenen Daten verboten sein muss. Zudem beleuchtet er, wenn auch nur in einem Nebensatz, die Frage, inwieweit sich eigentlich Verstorbene, bzw. deren Angehörige, auf den Schutz personenbezogener Daten berufen können.

Sachverhalt
Auf einer Internetseite veröffentlichte der Beklagte eine Todesanzeige unter vollständiger Nennung von Vor- und Zunamen, Geburts- und Sterbedatum, Wohnort, Berufsbezeichnung und letzter Ruhestätte des Verstorbenen. Diese Daten waren bereits in Sterbeanzeigen, die u. a. die Witwe selbst aufgegeben hatte, enthalten. Zudem war es Dritten möglich, Kondolenzeinträge (also im Prinzip Kommentare) zu verfassen. Diese Chance nutzte auch eine Dame um mehr oder minder direkt zum Ausdruck zu bringen, dass sie die Geliebte des Verstorbenen gewesen sei. In einem separaten Verfahren wurde sie daraufhin verurteilt, Veröffentlichungen dieser Art zu unterlassen. In erster Instanz erkannte der Beklagte bereits die begehrte Löschung dieser sieben Kondolenzeinträge der Dame an.

Entscheidung
Das LG sah die Verarbeitung der personenbezogenen Daten des Verstorbenen zum Zwecke der Darstellung in der Todesanzeige als rechtmäßig an. Dieser Löschungsanspruch ergebe sich weder aus § 35 Abs. 2 S. 2 Nr. 1 BDSG noch aus dem postmortalen Persönlichkeitsrechts ihres verstorbenen Ehemannes oder ihren eigenen Rechten (§ 1004 Abs. 1 S. 1 BGB analog). Ich möchte mich hier auf einige datenschutzrechtliche Gesichtspunkte der Entscheidung beschränken.

Zum einen tendiert das LG bereits dazu, personenbezogene Daten Verstorbener nicht in den Schutzbereich des BDSG aufzunehmen. Doch selbst wenn diese Schutz genießen würden, so würde die Datenverarbeitung doch rechtmäßig erfolgen.
Ob Daten Verstorbener vom BDSG geschützt werden ist zumindest nicht unumstritten. Gegen eine Einbeziehung könnte jedoch sprechen, dass Rechte der Betroffenen (wie etwa dasjenige auf Löschung oder Auskunft) gerade eine lebende Person voraussetzen. Ein weiteres Argument gegen die Erstreckung des Schutzes auf Verstorbene könnte zudem sein, dass das Bundesverfassungsgericht davon ausgeht, dass das allgemeine Persönlichkeitsrecht mit dem Tod des Betroffenen erlischt. Das Recht auf informationelle Selbstbestimmung, welches als Grundlage des Schutzes personenbezogener Daten dient, ist jedoch nur ein besonderer Teil dieses allgemeinen Persönlichkeitsrechts und erlischt dann folgerichtig ebenso. Schutzlos steht das Ansehen der Verstorbenen (und so mittelbar auch der Umgang mit ihren Daten) damit jedoch nicht. Denn das Bundesverfassungsgericht geht ebenso davon aus, dass der Schutz der Menschenwürde (Art. 1 Abs. 1 GG) nicht mit dem Tode endet (vgl. etwa Az.: 1 BvR 435/68).

Nach dem LG sei jedoch die Speicherung und Veröffentlichung der Todesanzeige rechtmäßig, da sich der Betreiber auf den Erlaubnistatbestand des § 29 Abs. 1 Nr. 2 BDSG berufen könne. Danach ist das geschäftsmäßige Erheben, Speichern und Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
Vorliegend waren die Daten allgemein zugänglich, da die Witwe bereits selbst Todesanzeigen veröffentlicht hatte. Die Verarbeitung wäre nur dann unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle „offensichtlich überwiegt“. Eine umfangreiche Einzelfallprüfung der widerstreitenden Interessen durch den Beklagten war daher nicht erforderlich. Die erleichterten Voraussetzungen der Datenverarbeitung werden vor allem als ein Ausfluss des Grundrechts der Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG angesehen. Das LG führt weiter aus, dass vorliegend eine Abwägung nur mit dem postmortalen Persönlichkeitsrechts des Verstorbenen in Betracht käme, da (entsprechend der oben erwähnten Ansicht des Bundesverfassungsgerichts) das Recht auf informationelle Selbstbestimmung mit dessen Tode erloschen sei. Die hier zu beurteilende Todesanzeige verletze den Verstorbenen jedoch nicht in seinem geschützten Achtungsanspruch. Denn es handele sich um wertneutrale Daten, ohne wertenden Bezug zur Persönlichkeit. Auch „dass die Daten durch eine Veröffentlichung im Internet einer breiteren Öffentlichkeit zugänglich gemacht und möglicherweise auch dauerhaft verfügbar gehalten werden, ändert an dieser Bewertung im Grundsatz nichts“.

Gutachten: Keine Fehler der Kommission beim Auswahlverfahren des neuen europäischen Datenschutzbeauftragten

Wie im Januar in den Medien berichtet wurde, lief am 16.1.2014 die Amtszeit des bisherigen europäischen Datenschutzbeauftragten (Peter Hustinx) und auch seines Stellvertreters aus, ohne dass ein geeigneter Nachfolger gefunden werden konnte. Hustinx hat sich bereit erklärt, bis Oktober kommissarisch im Amt zu bleiben. Bis dahin soll ein neues Bewerbungs- und Auswahlverfahren durchgeführt werden.
Die Ablehnung aller Bewerber durch die Kommission hat in der Öffentlichkeit für Kritik gesorgt, zumal sich unter den Kandidaten (teils ehemalige) Leiter und Stellvertreter europäischer Datenschutzbehörden befanden.

Auf Statewatch.org wurde nun ein Gutachten des juristischen Dienstes (PDF) des europäischen Parlaments veröffentlicht, welches sich mit dem rechtlichen Vorgehen der Europäischen Kommission im Rahmen des Auswahlverfahrens des europäischen Datenschutzbeauftragten befasst. Ich möchte nachfolgend nur auf einige Eckpunkte des Papiers eingehen.

  • Allein die europäische Kommission besitzt die Kompetenz zur Eröffnung des Auswahlverfahrens. Ebenso obliegt es ihr allein dieses Verfahren zu beenden, wenn keine geeigneten Kandidaten gefunden wurden, die dem Rat und dem Parlament zur Wahl vorgeschlagen werden können. Rat und Parlament müssen und dürfen insoweit nicht formell zustimmen.
  • Wenn Bewerber die in der Ausschreibung aufgestellten Kriterien nicht erfüllen (und diese Kriterien im Einklang mit den Vorgaben der hier relevanten Verordnung 45/2001 (PDF) stehen), dann muss die Kommission diese Kandidaten nicht auf die Vorschlagsliste setzen.
  • Die Verordnung 45/2001 gibt in Art. 42 Abs. 2 zwei zwingend zu erfüllende Merkmale vor (kein Zweifel an Unabhängigkeit und herausragende Erfahrung und Sachkunde für die Erfüllung der Aufgaben), die jedoch in der öffentlichen Ausschreibung durch die Kommission weiter umschrieben werden können.
  • Der Kommission fällt zudem ein Ermessen zu, welche weiteren Merkmale sie als Voraussetzungen aufstellt. Diese müssen sich freilich im Rahmen der groben Vorgaben der Verordnung 45/2001 halten und insbesondere an den zukünftigen Aufgaben des europäischen Datenschutzbeauftragten orientieren (Art. 44 bis 47).
  • Im vorliegenden Fall (des erfolglos durchgeführten Bewerbungs- und Auswahlverfahrens) hat die Kommission diese Vorgaben beachtet und ihr Ermessen nicht überschritten.
  • Zudem hat die Kommission das Parlament vor der Veröffentlichung der Stellenausschreibung konsultiert und in Bezug auf die aufgestellten Anforderungen wurden von Seiten des Parlaments keine Bedenken geäußert.

Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht – und nun?

Mit Urteil vom 24.01.2014 (Az. 5 U 42/12 (hier als PDF)) hat das Kammergericht (KG) die Berufung von Facebook im Streit mit dem VZBV um die Zulässigkeit des Freunde-Finders zurückgewiesen (hier die Pressemitteilung). Das Urteil ist nun im Volltext verfügbar und der Inhalt dürfte durchaus für Diskussionen sorgen. Denn das KG bestätigt die Auffassung des Landgerichts Berlin (Az. 16 O 551/10), wonach im europäischen Datenschutzrecht eine Rechtswahl zwischen den Parteien möglich ist. Selbst ohne eine solche Rechtswahl fände vorliegend jedoch deutsches Datenschutzrecht Anwendung, da nicht Facebook Irland, sondern vielmehr die Muttergesellschaft in Amerika allein die verantwortliche Stelle der Datenverarbeitung sei. Da diese nicht in Europa sitze, jedoch auf die Daten von Nutzern in Deutschland zurückgreife, gelte deutsches Datenschutzrecht.

Die Frage des anwendbaren Datenschutzrechts ist freilich nur die (wenn auch notwendig) zu prüfende Vorstufe, um zu einer Beurteilung der Rechtmäßigkeit des Freunde-Finders an sich zu gelangen. Ich möchte mich nachfolgend jedoch auf diese Vorfrage beschränken, denn ihre Beantwortung ist besonders vor dem Hintergrund interessant, dass sowohl das VG (Az.: 8 B 60/12; 8 B 61/12) als auch das OVG Schleswig (Az.: 4 MB 10/13) die Anwendbarkeit deutschen Datenschutzrechts abgelehnt haben. Wir haben also in Deutschland nun zwei Obergerichte, die hier unterschiedlicher Auffassung sind. Man sollte meines Erachtens zudem beachten, dass es bei dieser Frage nicht um „Facebook“-Bashing gehen darf, sondern diese Thematik vielmehr für jeglichen internationalen Anbieter von Dienstleistungen im Internet von Interesse ist.

Anwendbares Recht nach der EU-Datenschutz-Richtlinie
Das Kammergericht geht in seiner Entscheidung zunächst auf die im BDSG zum anwendbaren Recht festgeschriebenen Grundsätze (§ 1 Abs. 5 BDSG und deren europarechtliche Grundlage in Art. 4 RL 1995/46/EG, (DS-RL)) ein. Die Vorgaben aus der DS-RL sind als eine angestrebte Vollharmonisierung des Datenschutzrechts zu verstehen, zumindest soweit die entsprechende Vorschrift inhaltlich unbedingt und hinreichend genau ist.
Diese Voraussetzungen sind für Art. 4 DS-RL erfüllt. Richtigerweise stellt das KG fest, das die Vorschriften zum anwendbaren Recht „zum Kernbereich dieser Richtlinie“ gehören. Das KG erläutert dann zunächst die beiden möglichen Varianten, die als Anknüpfungspunkt des anzuwendenden Datenschutzrechts in Frage kommen. Einmal in Art. 4 Abs. 1 lit. a DS-RL der Sitz der verantwortlichen Stelle, wenn diese sich innerhalb der EU befindet oder nach Art. 4 Abs. 1 lit. c DS-RL der Anknüpfungspunkt des „Zurückgreifens“ auf in einem Mitgliedstaat belegene Mittel, wenn die verantwortliche Stelle der Datenverarbeitung nicht in der EU oder dem EWR sitzt.

Verantwortliche Stelle außerhalb der EU
Das KG beginnt seine Prüfung mit der Variante des Art. 4 Abs. 1 Lit. c DS-RL. Und hier wird das Urteil nun interessant und weicht von den oben angeführten Entscheidungen der Gerichte in Schleswig-Holstein ab. Denn das KG geht davon aus, dass nicht die Europazentrale von Facebook in Irland für die Datenverarbeitung deutscher Nutzer verantwortlich ist, sondern allein die Muttergesellschaft in den USA.

Ebenso werden die u?ber den Internetauftritt der Beklagten erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von dieser Muttergesellschaft verarbeitet.

Diese Feststellung des Gerichts ist erforderlich, um in den Anwendungsbereich von Art. 4 Abs. 1 lit. c DS-RL zu gelangen. Denn wenn die irische Niederlassung verantwortlich wäre, so würde Art. 4 Abs. 1 lit. a DS-RL eingreifen und irisches Datenschutzrecht zur Anwendung kommen (in diesem Sinne hatten die Gerichte in Schleswig-Holstein entschieden). Übereinstimmend mit der Ansicht der Art. 29 Datenschutzgruppe (Stellungnahme WP 179) geht das KG dann davon aus, dass auf „automatisierte oder nicht automatisierte Mittel“ zurückgegriffen wird, wenn Cookies auf einem PC platziert und hierdurch personenbezogene Daten erhoben werden. Das KG nimmt diese Konstellation für Facebook USA an. Facebook USA setze Cookies auf Rechnern von deutschen Nutzern und greife daher auf „Mittel“ in Deutschland zurück. Daher gelte deutsches Datenschutzrecht. Zudem sieht das KG (sozusagen alternativ) den Auftragsdatenverarbeiter des Konzerns, der einer Niederlassung in Deutschland besitzt, als ein „Mittel“ an, auf das Facebook USA zurückgreift. Auch deshalb gelte deutsches Datenschutzrecht.

Diese Ansicht halte ich im Ergebnis für vertretbar. Manche europäische Datenschutzbehörden sehen sogar die eigenen Niederlassungen von außereuropäischen Unternehmen als solche „Mittel“ an. Was jedoch leider in dem Urteil etwas zu kurz kommt ist die, meines Erachtens gerade im Datenschutzrecht erforderliche, Differenzierung der verschiedenen Datenverarbeitungsvorgänge. Natürlich ist es möglich, dass Facebook USA Cookies einsetzt und hierüber Daten verarbeitet. Doch darf man damit nicht die kompletten Datenverarbeitungsvorgänge eines Weltkonzerns über einen Kamm scheren. Es scheint doch durchaus möglich, dass etwa für einen Verarbeitungsprozess die Muttergesellschaft, für einen anderen jedoch eine europäische Niederlassung verantwortlich ist. Wer für welchen Verarbeitungsvorgang verantwortlich ist, muss freilich auf einer tatsächlichen Ebene ermittelt bzw. vorgetragen werden.

Verantwortliche Stelle innerhalb der EU
In einem nächsten Schritt prüft das KG, ob nicht eventuell die Niederlassung in Irland doch als verantwortliche Stelle anzusehen sei und daher irisches Recht Anwendung finden würde (Art. 4 Abs. 1 lit. a DS-RL; falls dem so seien sollte, dann wäre die Vorschrift es Art. 4 Abs. 1 lit. c DS-RL quasi „gesperrt“. Daher hätte man sicherlich auch zunächst die Voraussetzungen von Art. 4 Abs. 1 lit. a DS-RL prüfen können). Und mit Blick auf die irische Niederlassung stellt das KG fest:

„Es fehlt aber ein hinreichender Vortrag dazu, dass sie die hier maßgebliche Erhebung und weitere Verarbeitung der Daten vornimmt.“

Das KG legt, wie eigentlich in dem gesamten Urteilsabschnitt zum anwendbaren Recht, richtigerweise die Bestimmung des § 1 Abs. 5 S. 1 BDSG richtlinienkonform aus. Nach dieser Vorschrift gilt grundsätzlich das Datenschutzrecht desjenigen Mitgliedstaates, in dem die verantwortliche Stelle belegen ist. Für das KG muss jedoch hinzukommen, dass die Datenverarbeitungsvorgänge auch „effektiv und tatsächlich“ dort ausgeführt werden. Diese Voraussetzung sieht es hier nicht als erfüllt an.

Auch diese Ansicht ist meines Erachtens grundsätzlich richtig. Die Art. 29 Datenschutzgruppe spricht in ihren Stellungnahmen in diesem Zusammenhang gerne von der „relevanten Niederlassung“. Es kommt im Rahmen der Prüfung des Art. 4 Abs. 1 lit. a DS-RL entscheidend darauf an, inwieweit eine europäische Niederlassung als verantwortliche Stelle angesehen werden kann. Für diese Prüfung ist von entscheidender Bedeutung, welche tatsächlichen Einflussmöglichkeiten sie auf den jeweiligen Verarbeitungsprozess besitzt.
Das Vorbringen von Facebook in dem Prozess konnte das KG nicht überzeugen.

„Die Beklagte trägt nur vor, sie sei alleinige Vertragspartnerin aller Facebook Nutzer außerhalb Nordamerikas. … Eine eigene effektive und tatsächliche Datenverarbeitung (mittels eigener Datenverarbeitungsanlagen und eigenem Personal) wird damit nicht dargetan. … Letztlich bezieht sie sich insoweit auch nur auf die tatsächliche Datenverarbeitung durch ihre Muttergesellschaft. Weitergehendes hat die Beklagte auch nach Erörterung in der mündlichen Verhandlung vor dem Senat nicht geltend gemacht.“

Es kommt also entscheidend auf die dargelegten, tatsächlichen Gegebenheiten an. Anders als in den Prozessen in Schleswig-Holstein konnte Facebook das KG jedoch nicht davon überzeugen, für die relevanten Vorgänge allein verantwortlich zu sein.

Im Ergebnis ist die Entscheidung des KG hinsichtlich dieses Komplexes daher konsequent. Als unbeteiligter Betrachter von außen lässt sich nur schwer beurteilen, ob man aufgrund des tatsächlichen Vorbringens nicht auch zu einem anderen Ergebnis hätte kommen können.

Rechtswahl
In einem weiteren Teil stützt sich das KG nun alternativ darauf, dass zudem eine wirksame Rechtswahl in Bezug auf deutsches Datenschutzrecht vorliege.

Insoweit überzeugt mich das Urteil jedoch nicht. Ich hatte bereits hier im Blog einmal zu der Möglichkeit einer Rechtswahl im Datenschutzrecht Stellung genommen.

Dass eine Rechtswahl möglich sei, begründet das KG damit, dass das BDSG unter anderem auch Privatrecht enthalte, wenn Ansprüche der Betroffenen (etwa auf Löschung oder Schadenersatz) auf Vorschriften wie §§ 4, 28 BDSG verweisen. Es ist in der Tat nicht unumstritten, inwieweit das BDSG nun (rein) öffentlich-rechtlich oder privatrechtlich oder gemischt zu qualifizieren ist.

Unabhängig davon sehe ich jedoch die, wie auch vom KG hervorgehoben, entscheidende Vorschrift des Art. 4 DS-RL nicht als eine solche des Privatrechts an, die zur Disposition der Parteien steht. Diese kann daher auch nicht durch eine Rechtswahl der Parteien „umgangen“ werden. Der Gesetzgeber wollte vielmehr eindeutig regeln, wann welches Datenschutzrecht gilt. Es lässt sich hier sicherlich darüber streiten, ob Art. 4 DS-RL bzw. die deutsche Umsetzung in § 1 Abs. 5 BDSG, nun eine international-privatrechtliche Eingriffsnorm darstellt oder etwa eine Sonderanknüpfung. Was jedoch beiden Qualifizierungen gemeinsam ist, ist der Ausschluss der Möglichkeit einer freien Rechtswahl.

Das KG bezieht sich in seiner Begründung vor allem auf die AGB von Facebook. Dort sei festgeschrieben, dass die Erklärung deutschem Recht unterliege. Meines Erachtens muss man hier jedoch strikt differenzieren. Es ist zwar möglich, das Vertragsrecht in internationalen Konstellationen grundsätzlich frei zu wählen (es sei denn es greifen Ausnahmen ein, wie etwa der Schutz für Verbraucher). Diese freie Rechtswahl bezieht sich meiner Meinung nach jedoch nicht auf das Datenschutzrecht. Denn allein Art. 4 DS-RL bzw. die jeweilige nationale Umsetzung soll vorgeben, welches Recht Anwendung findet. Dies kann in der Praxis freilich zu der Situation führen, dass in Bezug auf eine AGB-Prüfung deutsches Recht Anwendung findet (insoweit greift die Schutzausnahme für Verbraucher). Innerhalb dieser AGB-Prüfung kann jedoch das zugrunde zu legende Recht, von dem mittels der AGB eventuell abgewichen wird, durchaus ein ausländisches Datenschutzrecht sein. Herr Dr. Redeker hat dies in einem Blogbeitrag auf CR-Online ebenso dargestellt.

Auch die Art. 29 Datenschutzgruppe hat in ihrer Stellungnahme zu Apps (WP 202, S. 9) zu einer möglichen Rechtswahl im Datenschutzrecht klare Worte gefunden:

Es ist wichtig, dass App-Entwickler wissen, dass die beiden Richtlinien insofern zwingende Vorschriften darstellen, als die Rechte natürlicher Personen nicht übertragbar sind und keinem vertraglichen Verzicht unterliegen. Das bedeutet, dass die Anwendbarkeit des europäischen Rechts zum Schutz der Privatsphäre nicht durch eine einseitige Erklärung oder eine vertragliche Vereinbarung ausgeschlossen werden kann.

Das KG geht in seiner Begründung leider auch nicht auf die Vorgaben der für internationale Sachverhalte und die Bestimmung des anzuwenden Rechts entscheidenden Verordnungen (Rom I und Rom II) ein. Es begründet die Entscheidung mit seiner Ansicht der freien Wahl hinsichtlich des „privatrechtlichen Teils“ des deutschen Datenschutzrechts. Dass hier deutsches und nicht etwa irisches Datenschutzrecht zur Anwendung gelangt, mache

vorliegend auch Sinn. Denn in Ziff. 1 der Nutzungsbedingungen stellt die Beklagte ausdru?cklich klar, wie wichtig ihr die Privatsphäre des Nutzers und der Schutz seiner Daten sind. Mit der Vereinbarung auch des deutschen Datenschutzrechts nimmt sie den Nutzern in Deutschland einen Teil der Sorgen, indem sie die in Deutschland insoweit geltenden und diesen Nutzern vertrauten Maßstäbe auch fu?r sich zu Grunde legt.

So sehr ich den Gedanken verstehe, dass es für deutsche Nutzer besser erscheinen mag, wenn deutsches Datenschutzrecht anwendbar ist, so wenig überzeugt mich jedoch das voran gestellte Zitat als eine rechtliche Begründung einer wirksamen Rechtswahl im Datenschutzrecht.

Ausblick
Und nun? Man wird abwarten müssen, ob Facebook auch gegen das Urteil des KG vorgeht. Da wir jedoch nun zwei konträre Entscheidungen zum anwendbaren Datenschutzrecht auf Facebook und auch zu den grundsätzlichen rechtlichen Möglichkeiten einer Rechtswahl im Datenschutzrecht haben, wäre im Sinne der Rechtssicherheit eine höchstrichterliche Klärung sicherlich wünschenswert.

Merkel: „Wir müssen mehr machen im europäischen Datenschutz“

Kurz vor dem am 19. Februar 2014 in Paris stattfindenden deutsch-französischen Ministerrat, hat Bundeskanzlerin Merkel ein Interview für den YouTube-Kanal der Bundesregierung gegeben (Video), in dem sie unter anderem auf das Thema Datenschutz eingeht.

Im Hinblick auf eine enge internationale Zusammenarbeit im Bereich des Datenschutzrechts sieht Merkel in der Tat Nachholbedarf.

Wir müssen mehr machen im europäischen Datenschutz, das ist gar keine Frage.

Zudem weißt die Bundeskanzlerin auf die derzeit in Brüssel verhandelte Datenschutz-Grundverordnung hin, die einen einheitlichen rechtlichen Standard in Europa schaffen würde. Jedoch stellen sich die Verhandlungen zu diesem Gesetzesvorhaben aus ihrer Sicht nicht so einfach dar, da „manche Länder einen geringen Datenschutz haben als Deutschland. Und wir wollen nicht, dass unser Datenschutz aufgeweicht wird“.

Im Hinblick auf die derzeitige Praxis einiger Unternehmen, ihre europäischen Zentralen in Länder zu verlagern, in denen das Datenschutzrecht „am geringsten ist“, macht die Bundeskanzlerin klar: „das können wir in Europa auf Dauer auch nicht gut heißen“. Mit Frankreich werde man darüber sprechen, wie man in Europa ein hohes Maß an Datenschutz aufrecht erhalten kann.

Zudem wolle man in Paris darüber sprechen, welche europäischen Anbieter existieren,

die Sicherheit für die Bürgerinnen und Bürger bieten, dass man nicht erst mit seinen E-Mails und anderem über den Atlantik muss, sondern auch innerhalb Europas Kommunikationsnetzwerke aufbauen kann.

Hiermit spricht die Bundeskanzlerin das Thema des „Schengenroutings“ an, dass also Datenpakete, deren Absender und Empfänger in Europa sitzen, auch innerhalb europäischer Netze verbleiben sollen. Diese Idee rührt vor allem aus den Enthüllungen um die Abhöraktivitäten der NSA, die auch direkt transatlantische Datenkabel angezapft haben soll.

Man darf gespannt sein, ob der anstehende Ministerrat für neuen Schwung bei den Themen Datenschutz-Grundverordnung und einer in letzter Zeit häufig geforderten digitalen europäischen „Unabhängigkeit“ von Amerika sorgen wird.

Baden-Württemberg: Landesdatenschützer untersuchen rechtskonformen Einsatz von Google Analytics

Der Landesdatenschutzbeauftragte in Baden-Württemberg erklärt heute in einer Pressemitteilung (PDF), dass seine Behörde den datenschutzkonformen Einsatz von Google Analytics auf 2.533 Internetseiten baden-württembergischer Betreiber untersucht hat. Hierbei seien bei ca. 65% der untersuchten Internetseiten Mängel bei der datenschutzrechtlichen Einbeziehung des Analyse-Tools festgestellt worden. Die Betreiber wurden daraufhin von der Behörde angeschrieben und aufgefordert, die festgestellten Mängel zu beseitigen.

Diese Aktion der Untersuchung von Webseiten auf den datenschutzkonformen Einsatz von Google-Analytics oder anderen Analyse-Tools, ist bereits letztes Jahr auch z. B. in Bayern erfolgt.
In meinem Blogbeitrag hierzu finden Sie Informationen zu den von den Datenschutzbehörden verlangten Anforderungen. In einem anderen Blogbeitrag hatte ich mich auch mit den datenschutzrechtlichen Voraussetzungen zu Google Universal Analytics befasst.

Bundesregierung: Im BfV und BND werden keine Personen gezielt wegen ihrer beruflichen Tätigkeit erfasst

Die Bundesregierung hat eine kleine Anfrage der Fraktion DIE LINKE im Bundestag zur Überwachungstätigkeit des BND, des BfV und des MAD beantwortet (BT-Drs. 18/443). DIE LINKE stellte die Anfrage „Mögliche Bespitzelung von Journalisten und Journalistinnen durch den Verfassungsschutz auch außerhalb Niedersachsen“ und wollte konkreter wissen, inwiefern auf Bundesebene die Nachrichtendienste ihre Überwachung eventuell anhand bestimmter Berufsgruppen ausrichten.

Die Bundesregierung antwortet hierauf, dass im Bundesamt für Verfassungsschutz (BfV) und im Bundesnachrichtendienst (BND) keine Personen gezielt wegen ihrer beruflichen Tätigkeit als Journalist, Arzt oder Rechtsanwalt erfasst werden. Sie werden vielmehr im BfV und BND erfasst, wenn sie in Erfüllung des jeweiligen gesetzlichen Auftrags beobachtungswürdig sind.

Erforderlich ist beim BfV immer die Voraussetzung des Merkmals der „Beobachtungswürdigkeit“ der Person bzw. beim BND ein Bezug zu dessen besonderer Aufgabenstellung.

Das BfV speichert im Nachrichtendienstlichen Informationssystem (NADIS) Personen, wenn sie aufgrund extremistischer, terroristischer oder nachrichtendienstlicher Bezüge beobachtungswürdig sind. Anlass einer Speicherung in den Fachinformationssystemen des BND ist immer ein Bezug der gespeicherten Person zur Aufgabenstellung des BND gemäß § 1 Absatz 2 des Gesetzes über den Bundesnachrichtendienst (BNDG). Im Rahmen einer solchen Speicherung können dann auch Informationen zur beruflichen Tätigkeit der als nachrichtendienstlich relevant eingestuften Person miterfasst werden.

Hinsichtlich einmal gespeicherter Daten sind die Dienste dazu verpflichtet diese zu löschen, wenn sich herausstellt, dass die Speicherung unzulässig war oder die Daten für die Aufgabenerfüllung nicht mehr erforderlich sind. Zudem bestehen gewisse Prüfpflichten hinsichtlich gespeicherter Daten, nach deren Ablauf zu beurteilen ist, ob die Daten noch erforderlich sind oder gelöscht werden können. BfV und BND sind

verpflichtet, bei der Einzelfallbearbeitung und nach festgesetzten Fristen zu prüfen, ob gespeicherte personenbezogene Daten zu berichtigten oder zu löschen sind. Die Frist für das BfV beträgt fünf Jahre, für den BND längstensfalls zehn Jahre.

LIBE-Ausschuss fordert mehr Datenschutz in zukünftigem eCall-System

Ab dem 1. Oktober 2015 sollen alle neuen Fahrzeugtypen in Europa mit einem bordeigenen eCall-System ausgerüstet sein. Die Anforderungen für dieses Notrufsystem, welches im Falle eines Unfalls automatisch die wichtigsten Daten wie etwa Standort, Fahrzeugtyp oder Benzinart an die Notrufstelle übermittelt, sollen in der „Verordnung über Anforderungen für die Typgenehmigung zur Einführung des bordeigenen eCall-Systems in Fahrzeuge“ (COM(2013) 316) festgelegt werden. Die Idee hinter der Einführung des Systems, nämlich noch schneller und effizienter am Unfallort sein und helfen zu können, wird mehrheitlich begrüßt. Kritik erhob sich in der Vergangenheit jedoch in Bezug auf die möglichen datenschutzrechtlichen Gefahren beim Einsatz der Systeme, da diese zumindest theoretisch eine dauernde Aufzeichnung des Standortes des Fahrzeuges ermöglichen könnten oder etwa die erhobenen Daten später für andere Zwecke nutzbar seien.

Der LIBE-Ausschuss des europäischen Parlaments hat nun letzte Woche seine Stellungnahme zu der vorgeschlagenen Verordnung abgegeben.

Das Ziel der Stellungnahme wird in der Begründung klar umschrieben: „Mit dieser Stellungnahme soll dafür gesorgt werden, dass mit dem Rechtsinstrument, das am Ende des Verfahrens erlassen werden wird, die vollständige Einhaltung der Datenschutzgrundsätze der Richtlinien 95/46/EG und 2002/58/EG sichergestellt ist„. Dem zuständigen Verfasser, Axel Voss, ist es wichtig, dass in Bezug auf die Datenverarbeitung eine Unterscheidung zwischen staatlichen 112-eCall-Systemen und zusätzlich möglichen, privaten eCall-Systemen vorgenommen wird. Für diese privaten Systeme, die eventuell weitere Zusatzfunktionen bieten, müssen andere Anforderungen hinsichtlich des Datenschutzes gelten. Insbesondere sollte die Verarbeitung personenbezogener Daten dort davon abhängig gemacht werden, dass die betroffenen Personen zuvor ihre Zustimmung erteilt haben oder ein Vertrag abgeschlossen wurde.

Diese Vorgaben finden sich dann auch in den einzelnen Änderungsanträgen zu der Verordnung. So soll etwa in Erwägungsgrund 6 klargestellt werden, dass Positionsdaten des Fahrzeugs gerade nur im Notfall erhoben werden dürfen. Im Normalbetrieb sollen die mit einem bordeigenen eCall-System ausgestatten Fahrzeuge nicht verfolgbar sein (Änderungsantrag 5). Fahrzeughersteller sollen bei der Erfüllung ihrer Pflichten darauf achten, technischen Datenschutz (Privacy by Design) in die bordeigenen Systeme zu integrieren (Änderungsantrag 8). Zudem soll der „für die Verarbeitung Verantwortliche“ als Begriff in die Verordnung eingeführt werden (Änderungsantrag 9), wobei die Definition aus der geltenden Datenschutz-Richtlinie (95/46/EG) übernommen wird. Weitere Änderungen, wie etwa die Voraussetzung einer ausdrücklichen Zustimmung der Betroffenen, wenn sonstige zusätzliche Informationen im Zusammenhang mit der Bereitstellung eines privaten eCall-Dienstes verarbeitet werden, beziehen sich zudem auf Artikel 6 der vorgeschlagenen Verordnung, der die „Privatsphäre und den Datenschutz“ regelt. Zudem soll für das bordeigene System klar festgelegt werden, welche Datenarten erhoben und übermittelt werden dürfen: Der „Mindestdatensatz darf maximal die Informationen enthalten,…nämlich manuelle oder automatische Aktivierung, Fahrzeugtyp, Fahrzeugenergiespeicherart, Zeitstempel, Fahrzeugposition, Fahrtrichtung, minimale Anzahl der angelegten Sicherheitsgurte. Vom bordeigenen eCall-System dürfen keine weiteren Daten abgesetzt werden“ (Hervorhebung durch mich).

Zuletzt soll nach der Stellungnahme des LIBE-Ausschusses auch eine Änderung aufgenommen werden, wonach in den Mitgliedstaaten Sanktionen für Verstöße gegen die datenschutzrechtlichen Vorgaben aus Artikel 6 festgelegt sein müssen (Änderungsantrag 17).