Justizministerium zweifelt an einheitlichem Datenschutzstandard in Europa

Die Europäische Kommission hat in einer Stellungnahme (abrufbar bei netzpolitik.org) den Gesetzesentwurf des Bundesministeriums für Justiz und Verbraucherschutz  (BMJV) zur „Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (PDF) inhaltlich bemängelt.

Die Kommission stört sich insbesondere an der in § 113b des Entwurfs vorgesehenen Pflicht, Vorratsdaten allein im Inland zu speichern:

dass der betreffende Entwurf einer Verordnung eine Verletzung von Artikel 56 AEUV sowie Artikel 1 Absatz 2 der Richtlinie 95/46/EG darstellen würde.

Art. 1 Abs. 2 der Richtlinie 95/46/EG (die geltende Datenschutzrichtlinie) gibt vor, dass Mitgliedstaaten nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des Schutzes der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten beschränken oder untersagen dürfen. Noch deutlicher ist die Vorgabe in Erwägungsgrund 9 der Datenschutzrichtlinie. Danach dürfen die Mitgliedstaaten aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen.

Die Pflicht zur Inlandsspeicherung in § 113b des Entwurfs würde aber den freien Verkehr personenbezogener Daten nicht nur behindern, sondern in Bezug auf die Speicherung Vorratsdaten schlicht untersagen.

Zweck der Datenschutzrichtlinie ist es zum einen, die Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten zu schützen und zum anderen den freien Verkehr von personenbezogenen Daten innerhalb der EU nicht zu behindern.

Gleichwertiger Schutz innerhalb der EU?

Die Datenschutzrichtlinie gibt also auf europäischer Ebene für die Mitgliedstaaten verbindlich vor, dass in ihrem Anwendungsbereich ein gleichwertiges Schutzniveau für personenbezogene Daten existiert. Personenbezogene Daten dürfen innerhalb der EU übermittelt werden, wenn für die Datenverarbeitung (hier die Übermittlung) selbst eine Einwilligung oder gesetzliche Grundlage (z.B. ein Vertrag) existiert.

Das BMJV sieht dies jedoch anders. Die Gesetzesbegründung verweist zur Beschränkung der ebenfalls beeinträchtigten Dienstleistungsfreiheit (Art. 56 AEUV) auf die Notwendigkeit,

um  die  grundrechtlichen  Erfordernisse  des  Datenschutzes  und der  Datensicherheit zu gewährleisten.

Also nutzt die Begründung genau jene Argumente, auf die man ausweislich des Wortlauts der Datenschutzrichtlinie eine Beschränkung des freien Flusses personenbezogener Daten eben gerade nicht stützen darf. Das BMJV zweifelt damit freilich auch ein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU insgesamt an.

Kein Vertrauen in die Arbeit von Aufsichtsbehörden in anderen Mitgliedstaaten

Die Gesetzesbegründung sägt jedoch sogar noch weiter an den eigentlich existierenden europäischen Standards:

Zudem hätten die mit der Überprüfung der Einhaltung der Sicherheitsstandards und des Datenschutzes befassten deutschen öffentlichen Stellen in anderen Mitgliedstaaten der EU  keine unmittelbaren und gleich wirksamen Möglichkeiten zur Prüfung.

Das stimmt. Deutsche Datenschutzbehörden könnten nicht in anderen EU-Ländern tätig werden und die Einhaltung des Datenschutzrechts prüfen. Zuständig wäre vielmehr die jeweilige nationale Aufsichtsbehörde. Doch scheint das BMJV auch kein Vertrauen in die Kompetenz und Prüfungen durch andere europäische Aufsichtsbehörden zu besitzen:

Angesichts des Umfangs der Prüfpflichten und der Tatsache, dass es sich nicht um eine einmalige Überprüfung eines Anbieters sondern um die Wahrnehmung dauerhafter Aufgaben (zum Beispiel bei der Anpassung der Sicherheitskonzepte an den jeweiligen Stand der Technik) handelt, erscheint dies aber zu wenig wirksam.

Mit „dies“ bezieht sich die Gesetzesbegründung auf die in der Datenschutzrichtlinie ausdrücklich vorgesehene Möglichkeit, dass eine Aufsichtsbehörde (etwa in Deutschland) eine andere Behörde in einem EU-Mitgliedstaat um Amtshilfe ersuchen kann, um hoheitliche Maßnahmen vorzunehmen oder die Einhaltung des Datenschutzrechts zu prüfen. Auch mit dieser Begründung verkehrt das BMJV die geltenden Prinzipien der Datenschutzrichtlinie in ihr Gegenteil. Das Instrument der Amtshilfe wird dort ja gerade vorgesehen, weil es eben möglich ist, dass eine nationale Aufsichtsbehörde nicht zuständig ist. Ein gleichwertiges Schutzniveau für personenbezogene Daten existiert aber dennoch (bzw. gerade auch deshalb) innerhalb der EU.

Zudem fragt man sich, welcher “Umfang” hier für die besondere Notwendigkeit einer Inlandsspeicherung und alleinigen Kontrolle durch deutsche Behörden spricht? Denn der in dem Gesetzesentwurf beschriebene Umfang an Pflichten in Bezug auf den Umgangt mit Daten und einzusetzende Datensicherheitsmaßnahmen ist kein anderer als jener, der für jedes normale Unternehmen gilt, wenn es personenbezogene Daten im Rahmen seiner Geschäftstätigkeit verarbeitet.

Mögliche Folgen?

Denkt man die Argumentation im Gesetzesentwurf zu Ende, so würde dies bedeuten, dass kein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU besteht. Personenbezogene Daten dürften dann auch grundsätzlich nicht in andere Mitgliedstaaten übermittelt werden bzw. nur dann, wenn besondere Anforderungen erfüllt sind. Im Prinzip würde man, überspitzt formuliert, jeden Staat außerhalb Deutschlands zum „unsicheren Drittstaat“ deklarieren.

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung zur Richtlinie zur Einführung der Vorratsdatenspeicherung (C-293/12) bemängelt, dass die fraglichen Daten nicht „im Unionsgebiet auf Vorrat gespeichert werden“. Eine Pflicht zur Speicherung allein in einem Mitgliedstaat, hat der EuGH jedoch nicht aufgestellt.

Datenschutzreform: Kein Mitgliedstaat verfolgt die Absicht, zentrale Datenschutzprinzipien aufzuweichen

Im Rahmen ihrer Antwort (PDF) auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag zu dem Thema „Neuregelung des Beschäftigtendatenschutzes“, hat sich die Bundesregierung nicht nur mit spezifischen Fragen der Datenverarbeitung im Verhältnis zwischen Arbeitgeber und Arbeitnehmer befasst, sondern auch einige interessante Ausführungen zu anderen wichtigen Bereichen der geplanten Datenschutz-Grundverordnung (DS-GVO) gemacht und ihre Auffassung zu diesen Themen dargelegt.

Betrieblicher Datenschutzbeauftragter
Die Frage, ob es in Zukunft eine EU-weite Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten gibt, ist nach wie vor offen. Im Rat der Europäischen Union konnte hinsichtlich dieses Vorschlags (u.a. von Deutschland) bisher keine Mehrheit gewonnen werden.

In ihrer Antwort bekräftigt die Bundesregierung ihre Absicht, eine solche Pflicht eventuell noch innerhalb der aktuell laufenden Trilogverhandlungen auf EU-Ebene noch in die DS-GVO einfließen zu lassen.

Die Bundesregierung setzt sich in den Verhandlungen weiterhin dafür ein, dass die Mitgliedstaaten durch die Datenschutz-Grundverordnung verpflichtet werden, dieses in Deutschland bewährte Konzept zu übernehmen.

Was geschieht mit aktuell gültigen Betriebsvereinbarungen?
Nach derzeit geltendem Recht stellen Betriebsvereinbarungen eine „andere Rechtsvorschrift“ im Sinne des § 4 Abs. 1 BDSG dar und können daher als Grundlage von Datenverarbeitungen in Unternehmen dienen. Doch was geschieht mit geltenden Betriebsvereinbarungen, wenn die DS-GVO, als unmittelbar geltende europäische Verordnung, in Kraft tritt und zwei Jahre später Anwendung findet?

Die Bundesregierung verweist auf den grundsätzlichen Anwendungsvorrang des EU-Rechts vor kollidierenden nationalen Regelungen. Ob geltende Betriebsvereinbarungen dann keine Anwendung mehr finden, hängt jedoch von der finalen Fassung der DS-GVO und möglichen Öffnungsklauseln und den Voraussetzungen an nationale Regelungen ab. Die Bundesregierung verweist zudem darauf, dass die Ratsfassung der DS-GVO in Erwägungsgrund 124 klarstellt, dass in Art. 82 DS-GVO (der speziellen Vorschrift zum Umgang mit personenbezogenen Daten von Arbeitnehmern) erwähnte Kollektivvereinbarungen auch Betriebsvereinbarungen umfassen.

Keine „strengeren“ nationalen Gesetze im Vergleich zur DS-GVO?
In Zukunft stellt sich zudem die Frage, ob nationale Regelungen im Anwendungsbereich von Öffnungsklauseln der DS-GVO erlassen werden dürfen, die „strengere“ Vorgaben an die Verarbeitung personenbezogener Daten machen, als jene in der DS-GVO. Sollte dies möglich sein, wird sich freilich in Folge eine Situation einstellen, in der manche Mitgliedstaaten „strengere“ Datenschutzgesetze besitzen als andere. Eine Vereinheitlichung wäre damit zumindest nicht gänzlich erreicht.

Die Bundesregierung will sich dafür einsetzen, dass die Mitgliedstaaten sektorspezifische Rechtsvorschrift, die bereits auf Grundlage der geltenden Datenschutz-Richtlinie erlassen wurden, beibehalten werden können. Zudem möchte sich die Bundesregierung dafür einsetzen, dass Art. 82 DS-GVO im Bereich des Arbeitnehmerdatenschutzes nur als „Mindestnorm“ anzusehen ist. Mitgliedstaaten könnten also etwa in diesem Bereich abweichend „strenge“ Vorgaben machen.

Bleiben geltende Datenschutzprinzipien erhalten?
Die Fraktion DIE LINKE möchte wissen, welche EU-Mitgliedsstaaten

nach Kenntnis der Bundesregierung aus welchen Gründen oder mit welcher Begründung ggf. die Absicht, zentrale Datenschutzprinzipien, wie die Zweckbindung und die Datensparsamkeit, in der EU-Datenschutz-Grundverordnung aufzuweichen.

Die Bundesregierung kann eine solches „Aufweichen“ geltender Datenschutzprinzipien jedoch nicht ausmachen:

Nach Beobachtung der Bundesregierung verfolgt kein Mitgliedstaat die Absicht, zentrale Datenschutzprinzipien aufzuweichen.

Der Grundsatz der Datensparsamkeit finde sich in Art. 5 Abs. 1 (c) der DS-GVO. Zudem merkt die Bundesregierung an, dass sie sich in den Ratsverhandlungen für die Beibehaltung der Formulierung des ursprünglichen Kommissionsvorschlags ausgesprochen habe.

Auch der Grundsatz der Zweckbindung werde beibehalten und finde sich in Art. 5 Abs. 1 (b) der DS-GVO. Die Formulierung entspreche zudem im Wesentlichen derjenigen der Datenschutz-Richtlinie.

Zweckändernde Datenverarbeitung auch ohne Einwilligung oder Vertrag
Die „Zweckänderung“ war ein Thema, welches vor allem auch in der Öffentlichkeit heftig diskutiert wurde. Die Bundesregierung wurde für ihre Änderungsvorschläge zum Teil heftig kritisiert. In ihrer Antwort verweist sie darauf, dass das geltende Bundesdatenschutzgesetz bereits derzeit zahlreiche Regelungen zur zweckändernden Weiterverarbeitung enthalte. Zudem führt sie an, dass eine solche Weiterverarbeitung nicht heimlich geschehen kann, sondern der Betroffene hierüber zu informieren ist (Art. 14 Abs. 1b) und Art. 14a Abs. 3a DS-GVO Ratsfassung). Auch möchte sich die Bundesregierung weiterhin dafür einsetzen,

dass die Befugnis zur zweckändernden Datenverarbeitung ohne Rechtsgrundlage und allein auf Grundlage einer Interessenabwägung für den öffentlichen Bereich nicht in der Datenschutz-Grundverordnung enthalten sein wird.

Datenschutzreform: Bundesratsausschüsse fordern weitere Anpassungen

Nachdem sich der Rat der Europäischen Union am 15. Juni 2015 auf eine allgemeine Ausrichtung zur geplanten Datenschutz-Grundverordnung (DS-GVO) verständigt hat und die Trilog-Verhandlungen zwischen Kommission, Parlament und Rat bereits begonnen haben (hierzu mein Beitrag mit einem Überblick zu dem Zeitplan sowie zu den ersten Verhandlungen), hat sich auch erneut der deutsche Bundesrat mit der DS-GVO befasst.

Der Bundesrat wird in seiner Sitzung am 10. Juli 2015 über neue Empfehlungen (PDF) des EU- und Innenausschuss beraten. Die beiden Ausschüsse empfehlen dem Bundesrat, zur DS-GVO erneut Stellung zu nehmen.

Nachfolgend möchte ich auf einige der Änderungsforderungen des Bundesrates eingehen.

DS-GVO für den „digitalen Binnenmarkt“?
Zunächst begrüßen die Ausschüsse, dass das Rechtsetzungsverfahren zur DS-GVO möglichst noch bis Ende 2015 abgeschlossen werden soll

um damit rechtssichere Grundlagen für den digitalen Binnenmarkt zu schaffen.

Die Ausschüsse richten ihr Hauptaugenmerk offensichtlich, wie dies in der öffentlichen Diskussion im Übrigen fast auch immer der Fall ist, auf die digitale Wirtschaft. Man kann jedoch nicht oft genug betonen, dass die DS-GVO eben gerade kein spezielles Gesetz für das Internet oder digitale Dienste darstellt, sondern jede Behörde, jedes Unternehmen, jeden Verein oder auch jede Privatperson betrifft, die personenbezogene Daten verarbeiten. Unabhängig von einem digitalen Handlungsfeld. Wichtig erscheint mir bei der nun stattfindenden Diskussion auf der Zielgeraden, diesen Effekt der DS-GVO nicht aus den Augen zu verlieren.

Pseudonyme
Kritisch beleuchten die Ausschüsse den stiefmütterlichen Umgang mit dem Instrument der Pseudonymisierung in der DS-GVO. Die Empfehlung bedauert,

dass im Standpunkt des Rates nur punktuell Anreize zur Verarbeitung pseudonymisierter Daten aufgenommen wurden.

Gerade vor dem Hintergrund, dass Datenanalysen einen wichtigen Bestandteil der zukünftigen Wirtschaft darstellen und nach Ansicht der Ausschüsse sogar von „elementarer Bedeutung“ sind, fordern die Ausschüsse die Bundesregierung dazu auf, sich auch in den Trilog-Verhandlungen dafür einzusetzen, dass neue Verfahren zur Verarbeitung pseudonymisierter Daten gefördert werden.

Zweckänderung
Einer der besonders umstrittenen Punkte in der DS-GVO ist die Möglichkeit einer Zweckänderung von Datenverarbeitungen. Hierzu fordern die Ausschüsse die Bundesregierung dazu auf, bei den

weiteren Beratungen einer Verschlechterung des durch die geltende Datenschutzrichtlinie 95/46/EG gewährleisteten Schutzniveaus konsequent entgegenzutreten.

Diese Forderung ist durchaus verständlich und wird auch von vielen Beteiligten in den Verhandlungen geteilt. Eine Datenschutzreform, die das geltende Schutzniveau unterschreitet, soll nicht das Ergebnis sein.

Meines Erachtens ziemlich spektakulär ist jedoch die zusätzliche Forderung der Bundesratsausschüsse.

Sie appellieren an die Bundesregierung

dafür Sorge zu tragen, dass die schutzwürdigen Interessen der Betroffenen Vorrang vor einer kommerziellen Weiterverwendung ihrer Daten für Big-Data-Konzepte und vor anderen Beeinträchtigungen ihrer Persönlichkeit erhalten.

Damit würde eine Interessenabwägung im Fall von kommerziellen „Big-Data-Konzepten“ (dieser Begriff ist freilich nirgends definiert) stets zu einer Unzulässigkeit der Datenverarbeitung führen. Ein solches Postulat ist jedoch meines Erachtens brandgefährlich. Dies aus mehreren Gründen: nirgends wird erläutert, was unter „Big Data“ oder „Big Data Konzepten“ zu verstehen ist? Wer wäre hiervon also betroffen? Jedes Unternehmen, welches ein CRM-System einsetzt?

Desweiteren stellt sich die Frage, welche Unternehmen denn nicht „kommerziell“ tätig werden und Daten verarbeiten? Die Wirtschaft handelt grundsätzlich aus kommerziellen Interessen. Ein Unternehmen kann nun einmal nicht von Luft und Liebe leben und muss Geld verdienen, um Mitarbeiter, Lieferanten, etc. zu bezahlen.

Der per-se etablierte Vorrang von schutzwürdigen Interessen der Betroffenen würde den Erlaubnistatbestand der Interessenabwägung im Datenschutzrecht für den „Big-Data“-Bereich (wie auch immer dieser verstanden wird) praktisch entleeren. Eine Verarbeitung von Daten wäre dann etwa nur auf der Grundlage einer Einwilligung oder eines Vertrages möglich.

Minderjährige
Zudem sprechen sich die Ausschüsse für eine Stärkung des Minderjährigenschutzes aus. Die Bundesregierung soll

sich dafür einzusetzen, dass personenbezogene Daten Minderjähriger nicht für Zwecke der Werbung und zur Profilbildung verwendet werden dürfen.

Also ein Postulat des absoluten Verarbeitungsverbots für diese Fälle. Eine Einwilligung würde nicht helfen. Selbst wenn also ein Minderjähriger (also alle Personen unter 18 Jahren!) mit personalisierter Werbung im Internet einverstanden wäre, so dürfte ein Unternehmen wie Youtube oder Facebook diese Werbung nicht auf der Grundlage von Daten über diesen Jugendlichen ausspielen. Eine solche Forderung verkennt meines Erachtens die Realitäten (gerade im Internet) und lässt zudem von einem informationellen Selbst(!)Bestimmungsrecht nichts mehr übrig.

Datenschutzbeauftragter
Auch dem Thema Pflicht zur Bestellung eines Datenschutzbeauftragten widmen sich die Ausschüsse. Nach der Empfehlung soll sich

die Bundesregierung dafür einsetzen, weiterhin für das in Deutschland bewährte Modell betriebsinterner Datenschutzkontrolle zu werben, dessen Vorzüge auch im Standpunkt des Europäischen Parlaments aufgegriffen wurden.

Man möchte also die Bestellpflicht direkt in der DS-GVO geregelt wissen. Falls eine verbindliche Bestellungspflicht nicht in die DS-GVO hineinzuverhandeln sei und es den Mitgliedstaaten und ihrem nationalen Recht überlassen bleibt, eine Bestellpflicht vorzusehen, so halten es die Ausschüsse jedoch

für erforderlich, auch auf die verbliebenen unionrechtlichen Detailanforderungen an die Ausgestaltung dieser Aufgaben (vergleiche Artikel 35 Absatz 2 bis Artikel 37) zu verzichten.

Denn selbst wenn es den nationalen Datenschutzgesetzen vorbehalten bliebe, die Voraussetzungen der verbindlichen Bestellungen eines Datenschutzbeauftragten vorzugeben, so sieht der Ratsentwurf der DS-GVO derzeit doch daneben umfängliche (und verbindliche) Anforderungen an die Bestellung eines Datenschutzbeauftragten vor.

EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

  1. Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
  2. Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Europäische Datenschutzbehörden fordern mehr Mittel und praxistaugliche Gesetze

Vom 18. – 20. Mai 2015 trafen sich Vertreter der Datenschutzbehörden der EU-Mitgliedstaaten und des Europarates zu einer Frühjahrskonferenz in Manchester. Diskutiert wurde über Themen von gemeinsamem Interesse. Besonders im Vordergrund stand dieses Jahr die mangelnde finanzielle als auch personelle Ausstattung staatlicher Aufsichtsbehörden und ihre Wahrnehmung in der Öffentlichkeit.

Die Vertreter der Datenschutzbehörden verabschiedeten vor diesem Hintergrund eine Resolution („Meeting data protection expectations in the digital future“, PDF), die sich eindringlich an die Mitgliedstaaten wendet und für die Tätigkeit der Aufsichtsbehörden, vor allem die Kontrolle und Durchsetzung des Grundrechts auf Schutz personenbezogener Daten in Europa, mehr finanzielle und personelle Mittel verlangt. Andernfalls könnten die Datenschützer die ihnen obliegenden Aufgaben nicht mehr wahrnehmen.

Forderung nach mehr Mitteln
Direkt an die europäischen Regierungen wendet sich die Forderung der Datenschützer, sicherzustellen, dass die finanzielle Unterstützung der Behörden ausreicht, um die weiter an ihre Arbeit gestiegenen Anforderungen erfüllen zu können. Hierzu gehöre auch eine Förderung der internationalen Zusammenarbeit von Behörden, wobei die Unabhängigkeit der Aufsichtsstellen nicht gefährdet werden dürfe. Die Datenschützer verweisen zur Untermauerung ihrer Forderung auf drei Urteile des Gerichtshofs der Europäischen Union (C-518/07; C-614/10; C-288/12), in denen die Unabhängigkeit und die finanzielle und personelle Ausstattung der Behörden als erforderliches Mittel zur Gewährleistung des Datenschutzes in Europa als Grundrecht bekräftigt wurde.

Einfaches Datenschutzrecht
Zudem wenden sich die Datenschützer an den europäischen Gesetzgeber. Dieser müsse sicherstellen, dass die nächste Generation von Datenschutzgesetzen in einer klaren und einfachen Sprache verfasst werden, so dass sie von denjenigen Adressaten verstanden und auch umgesetzt werden können, für die sich gedacht sind: Unternehmen, Betroffene und Aufsichtsbehörden. Nur so könne ein hohes Datenschutzniveau auch in der Praxis tatsächlich durchgesetzt werden.

Gericht: Namen und Kontaktdaten von Amtsmitarbeitern dürfen nicht im Internet veröffentlicht werden

Der Bayerische Verwaltungsgerichtshof hat mit Urteil vom 25.03.2015 (Az. 5 B 14.2164) entschieden, dass personenbezogene Daten von Behördenmitarbeitern (etwa Name, Telefon- und Faxnummer) nicht einfach öffentlich im Internet von Dritten zum Abruf bereitgehalten werden dürfen. Es fehle diesbezüglich an einem berechtigten Interesse des Veröffentlichenden und auch das schutzwürdige Interesse des Betroffenen würde, wenn die Informationen ansonsten nicht öffentlich verfügbar sind, überwiegen.

Der Fall
Eine kommunale Wählervereinigung in der Rechtsform eines eingetragenen Vereins, deren Zweck die Teilnahme an Kommunalwahlen ist, wendete sich gegen eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (LDA) zur Löschung personenbezogener Daten. Grundlage dieser verwaltungsrechtlichen Anordnung gegen den Verein war, dass dieser auf seiner Homepage den E-Mail-Verkehr zwischen dem Vorstand und einer Angestellten im öffentlichen Dienst im Bürgerbüro des Umweltministeriums veröffentlichte. In der von dem Verein veröffentlichten Adresszeile und in der Signatur der E-Mails waren der Anfangsbuchstabe des Vornamens der Angestellten, ihr Nachname, ihre dienstliche E-Mailadresse, die um die letzten beiden Ziffern gekürzte Telefonnummer, die dienstliche Faxnummer und die Dienstadresse angegeben.

Die Entscheidung
Das Gericht entschied, dass sich der Kläger nicht auf das sogenannte Medienprivileg nach § 41 BDSG berufen kann und dass auch sonst keine Rechtsvorschrift ersichtlich sei, die die Nennung personenbezogener Daten Dritter auf der Homepage erlauben würde.

Veröffentlichung der Daten
Nach Ansicht des Gerichts wurden durch die Veröffentlichung des Mail-Verkehrs und der darin enthaltenen Informationen auf der Homepage die personenbezogenen Daten der Behördenmitarbeiterin in der Weise verarbeitet, das Dritte diese Daten einsehen oder abrufen konnten. Damit lag nach Auffassung des Gerichts eine Datenübermittlung nach § 3 Abs. 4 S. 2 Nr. 3 b) BDSG vor. Was das Gericht hier jedoch unbeachtet lässt ist, dass nach dem Gesetz diese Daten auch tatsächlich eingesehen oder abgerufen werden müssen („einsieht oder abruft“). Im Ergebnis liegt freilich dennoch eine Datenverarbeitung vor, sei es als Speicherung (§ 3 Abs. 4 S. 2 Nr. 1 BDSG) oder in der Form der Weitergabe (§ 3 Abs. 4 S. 2 Nr. 3 a) BDSG), denn für die Weitergabe reicht die Möglichkeit der Kenntnisnahme der Informationen durch einen Dritten aus. Mit Blick auf die Veröffentlichung von Daten auf einer Internetseite entscheid dies der EuGH im Jahre 2003 (C-101/01) noch anders, wobei dieser Entscheidung wohl auch andere Erwägungen zugrundlagen. In der Google-Entscheidung (C-131/12) ging der EuGH jüngst relativ unproblematisch davon aus, dass die Darstellung von Ergebnislisten mit personenbezogenen Daten im Internet eine Weitergabe dieser Daten an Dritte darstellt.

Kein Medienprivileg
Der Verein brachte zu seiner Verteidigung unter anderem vor, dass sein Handeln unter das sog. Medienprivileg (§ 41 BDSG) fallen würde und er daher die Vorgaben des BDSG weitestgehend nicht zu beachten habe. Nach § 41 BDSG werden Unternehmen oder Hilfsunternehmen der Presse von den Bestimmungen des BDSG weitgehend freigestellt, soweit sie personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken erheben, verarbeiten oder nutzen. Dieser Auffassung folgte das Gericht nicht:

Bei der vom Kläger durch seinen Vorstand betriebenen Webseite handelt es sich, wie ein Blick auf den in der Satzung des Vereins beschriebenen Vereinszweck eindeutig zeigt, nicht um eine Tätigkeit im Pressewesen, sondern um eine Tätigkeit in der kommunalen Parteipolitik.

Das Berichten zu einem bestimmten politischen Thema auf der Homepage über eigene Aktivitäten sei für den Verein daher nicht Zweck, sondern nur das Mittel zum eigentlichen Zweck des politisch tätigen Vereins gewesen. Einer Verarbeitung von Daten zu ausschließlich journalistisch-redaktionellen Zwecken fand daher nicht statt.

Auch hier könnte man die Wertung des Gerichts zumindest kritisch hinterfragen. Die im Datenschutzrecht vorgesehene Privilegierung von Datenverarbeitungen für ausschließlich journalistische Zwecke ist nämlich durchaus nicht im Sinne klassischer Pressearbeit zu verstehen. So hat bereits der EuGH festgestellt (C-73/07), dass Handlungen als journalistische Tätigkeiten eingestuft werden können,

wenn sie zum Zweck haben, Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten. Journalistische Tätigkeiten sind nicht Medienunternehmen vorbehalten und können mit der Absicht verbunden sein, Gewinn zu erzielen.

Der EuGH legt die das Medienprivileg also durchaus weit aus. Dies ändert freilich nichts an der Voraussetzung, die Datenverarbeitung ausschließlich zu einem journalistischen Zweck, wie etwa die Verbreitung von Meinungen, vorzunehmen.

Keine gesetzliche Erlaubnis
Damit war klar, dass die Datenverarbeitung vollumfänglich in den Anwendungsbereich des BDSG fiel. Nach § 4 Abs. 1 BDSG war somit eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen erforderlich. Eine Einwilligung lag freilich nicht vor. Auch § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach das Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, konnte vorliegend nicht zu einer Rechtmäßigkeit der Verarbeitung führen.

Das Gericht verneinte bereits das Vorliegen eines Interesses des Vereins, den Namen und die Kontaktdaten der Betroffenen konkret zu benennen. Eine solche Einschätzung hängt freilich immer sehr stark von den Umständen des Einzelfalls ab. Vorliegend besaß die Betroffene ersichtlich keine sachbearbeitende oder sonstwie herausgehobene Funktion. Sie hatte lediglich Fachinformationen von der zuständigen Fachabteilung an den Verein weitergeleitet. Es bestehe schlicht kein Zusammenhang zwischen dem veröffentlichten Inhalt der E-Mails und der Person der Betroffenen.

Das Gericht stellt zum Schluss zudem fest, dass selbst für den Fall, dass ein berechtigtes Interesse des Vereins bestanden hätte, das schutzwürdige Interesse der Betroffenen vorliegend überwogen hätte. Die Begründung ähnelt ein wenig derjenigen, die wir aus dem bereits oben einmal zitierten Google-Urteil des EuGH kennen. Nach dem Gericht handelte es sich insofern um einen nicht ganz unerheblichen Eingriff in das Persönlichkeitsrecht der Betroffenen, deren Daten zudem gerade nicht allgemein zugänglich waren. Diese Feststellung gelte auch für die im öffentlichen Dienst tätigen Mitarbeiter, die ohne ein überwiegendes berechtigtes Interesse mit ihren personenbezogenen Daten nicht einfach im Internet benannt werden dürften. Der für den Verein relevante Verwaltungsvorgang als solcher ließe sich zudem problemlos und ohne sachlichen Informationsverlust auch ohne Nennung personenbezogener Daten darstellen. So stellt das Gericht letztendlich fest:

Zusammengefasst wäre bei einer Interessenabwägung daher dem Interesse der Beigeladenen, ihre personenbezogenen Daten nicht weltweit abrufbar im Internet veröffentlicht zu sehen, der Vorrang einzuräumen.

Fazit
In der Sache und auf der Grundlage der in diesem Einzelfall vorliegenden Umstände, ist das Urteil durchaus vertretbar. Insbesondere im Rahmen der Abwägung der Interessen der Beteiligten steckt jedoch oft ein gewisser Spielraum für Argumentationen, so dass ein Ergebnis kaum per se vorhersehbar erscheint.

Gutachten des Europäischen Parlaments: Voraussetzungen für eine zulässige Vorratsdatenspeicherung

Wie geht es weiter mit einer Vorratsdatenspeicherung in Deutschland? Welche Möglichkeiten bestehen für den nationalen Gesetzgeber, neue Gesetze zu erlassen, nachdem der Gerichtshof der Europäischen Union (EuGH) im April 2014 die EU-Richtlinie zur Vorratsdatenspeicherung für unwirksam erklärt hat (C 293/12)? Ist eine nationale „VDS“ überhaupt möglich?

Antworten auf einige dieser Fragen versucht ein Gutachten des juristischen Dienstes des Europäischen Parlaments aus dem Dezember 2014 (PDF) zu geben. Das Gutachten wurde aufgrund von mehreren Fragen des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) verfasst. Das Gutachten hat einen Umfang von 27 Seiten und soll hier nicht in Gänze besprochen werden. Nachfolgend nur zu einigen, gerade aus der Sicht des deutschen Gesetzgebers relevanten, Aussagen.

Vorschriften zur Speicherung von Daten bei der Nutzung öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat fallen in den Anwendungsbereich von Art. 15 Abs. 1 der RL 2002/58/EG (in der Fassung der RL 2009/136/EG, PDF) und müssen zunächst die gesetzlichen Vorgaben dieser Vorschrift erfüllen. Ein durch gesetzliche Vorschriften zur Speicherung von Daten stattfindender Eingriff in die Rechte der Betroffenen ist danach dann erlaubt,

sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist.

Zudem setzen nationale Vorschriften, die sich auf die Erlaubnis des Art. 15 Abs. 1 der RL 2002/58/EG stützen, europäisches Recht um. Als Folge müssen sich die nationalen Regelungen an den Vorgaben der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF) messen lassen. Insbesondere Art. 7 (Achtung des Privat- und Familienlebens) und 8 (Schutz personenbezogener Daten) sowie Art. 52 Abs. 1 (Tragweite und Auslegung der Rechte und Grundsätze) der EU-Charta sind insofern durch den nationalen Gesetzgeber zu beachten. Bei der Auslegung dieser Artikel ist dann auch das Urteil des EuGH zur Unwirksamkeit der Richtlinie zur Vorratsdatenspeicherung und sind die konkreten Vorgaben des Gerichtshofs zu beachten. Hierzu gehören insbesondere:

  • klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und
  • Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen und
  • Bestimmungen zu entwickeln, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Das Gutachten des juristischen Dienstes geht jedoch nicht davon aus, dass nationale Regelungen zur Vorrastdatenspeicherung per se unzulässig wären. Die Verfasser gehen ausdrücklich davon aus, dass bestehende Regelungen zur Vorratsdatenspeicherung durchaus beibehalten werden können, wenn sie denn die Vorgaben der jeweiligen europäischen Richtlinie und der EU-Charta (unter Berücksichtigung der Auslegung durch den EuGH) erfüllen.

Das Gutachten geht zudem auf die Frage ein, inwieweit das Urteil sowohl bestehende internationale Abkommen zum Datenaustausch oder zur Datenspeicherung berührt und wie die Vorgaben des EuGH bei sich derzeit in Verhandlung befindenden Gesetzesvorhaben (Stichwort „Fluggastdaten“) zu berücksichtigen sind. Das Gutachten ist durchaus lesenswert und zeigt außerdem interessante Parallelen zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte auf.

Bayerischer Datenschützer: Keine Aussetzungen unter Safe Harbor; erhöhtes Bußgeld bei Browser-Fingerprinting

Heute hat der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013 und 2014 vorgelegt. Das BayLDA ist zuständig für die Überwachung der Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern. Der Tätigkeitsbericht ist daher auf den Bereich des Datenschutzes in der Privatwirtschaft beschränkt. Die Ausführungen in dem Bericht sind für datenschutzrechtlich Interessierte sicherlich lesenswert und geben verantwortlichen Stellen in Bayern einen praxisnahen „Leitfaden“ an die Hand, wie die für sie zuständige Behörde das Datenschutzrecht durchsetzt. Nachfolgend zu einigen in dem Bericht behandelten Themen.

Safe Harbor: Keine Aussetzungen von Datentransfers
Bekanntlich sind vor allem die deutschen Datenschutzbehörden von dem Instrument „Safe Harbor“ als Grundlage für Übermittlungen personenbezogener Daten in die USA nicht überzeugt. Erst letzte Woche wurde eine Entschließung der deutschen Behörden veröffentlicht, nach der die

Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA entfaltet.

Das BayLDA schlägt hier in seinem Tätigkeitsbericht etwas pragmatischere (und meiner Ansicht nach die richtigen) Töne an. Die betreffende Entscheidung der Kommission (2000/520/EG vom 26.07.2000) ist nämlich nach dem Tätigkeitsbericht gegenwärtig nach wie vor in Kraft und für die Datenschutzbehörden der Mitgliedstaaten bindend (Art. 25 Abs. 6 Satz 2 der geltenden Datenschutzrichtlinie 95/46/EG). Das BayLDA weiter:

Auch wenn gerade die deutschen Datenschutzbehörden bereits mehrfach Kritik an der praktischen Umsetzung des Safe-Harbor-Systems geäußert haben, ist die Safe-Harbor-Kommissionsentscheidung auch für sie bindend. Damit ist nach wie vor davon auszugehen, dass US-Unternehmen, die eine aktuelle gültige Safe-Harbor-Zertifizierung besitzen, jedenfalls grundsätzlich ein „angemessenes Datenschutzniveau“ im Sinne von § 4b BDSG aufweisen. (S. 105)

Richtigerweise geht das BayLDA daher davon aus, dass personenbezogene Daten aus Deutschland an US-Unternehmen mit gültiger Safe Harbor-Zertifizierung übermittelt werden dürfen, vorausgesetzt die Datenübermittlung selbst ist ebenfalls gerechtfertigt (etwa durch eine Einwilligung oder auf der Grundlage eines Vertrages). Für deutsche Behörden besteht nach Art. 3 Abs. 1 Satz 1 Buchstabe b der Safe Harbor-Entscheidung die Möglichkeit, einzelne Datenübermittlungen an Safe Harbor-zertifizierte US-Unternehmen u. a. aussetzen. Safe Harbor selbst kann jedoch nur von der EU-Kommission abgeändert oder aufgehoben werden. Erforderlich für die Untersagung einzelner Datentransfers ist, dass „eine hohe Wahrscheinlichkeit besteht, dass die (Safe Harbor-Datenschutz-)Grundsätze verletzt werden“. Auf Grundlage dieser Gegebenheiten hat das BayLDA bislang jedoch keine Maßnahmen zur Aussetzung von Transfers personenbezogener Daten durch Unternehmen aus Bayern in die USA eingeleitet und es sind derzeit keine entsprechenden Maßnahmen vorgesehen.

Browser-Fingerprinting: Erhöhtes Bußgeld bei rechtswidriger Datenverarbeitung
Ein anderes Thema in dem wirklich lesenswerten Bericht ist das Tracking mit sog. „fortgeschrittenen Webtechnologien“ (ab S. 57). Zunächst werden einige Tracking-Technologien vorgestellt (u.a. Flash-Cookies; Canvas-Fingerprinting; Browser-Fingerprinting). Nach Ansicht des BayLDA ermöglicht der Einsatz dieser Trackingmethoden, dass der Browser eines Webseitenbesuchers mit sehr hoher Wahrscheinlichkeit eindeutig bestimmt werden kann. Dies auch dann, wenn der Nutzer das Setzen von herkömmlichen Cookies auf seinem PC ablehnt. Das BayLDA weist dann auf die Voraussetzungen des § 15 Abs. 3 TMG hin, wonach das Erstellen von Nutzungsprofilen unter Pseudonym zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien rechtlich zulässig ist, wenn ein Nutzer einem solchen Profil nicht widerspricht. Das BayLDA geht folglich grundsätzlich von der Möglichkeit eines rechtlich zulässigen Einsatzes der oben benannten Trackingmethoden auf der Grundlage von § 15 Abs. 3 TMG aus. Einschränkend fügt die Behörde jedoch hinzu, dass die Nutzer freilich auf ihr Widerspruchsrecht und auf die Datenverarbeitung an sich hinzuweisen sind. Nach Ansicht des BayLDA

gestaltet sich die praktische Umsetzung dieser gesetzlichen Anforderung jedoch oftmals als nicht ausreichend.

Häufig würden die Informationen nämlich nicht transparent und auch nicht verständlich dargestellt werden. Für die Praxis besonders wichtig ist in diesem Zusammenhang der Hinweis der Behörde, dass (im Fall der mangelnden Umsetzung der gesetzlichen Vorgaben) das Risiko eines Bußgeldes insofern erhöht wäre, da das BayLDA

den ordnungswidrigen Einsatz von Verfahren, mit denen die Nutzereinstellungen zum Schutz vor einer Nutzungsprofilbildung gezielt ausgehebelt werden, verstärkt mit Bußgeldern ahnden.

Der Tätigkeitsbericht befasst sich mit vielen weiteren Thematiken: von Fragen um den betrieblichen Datenschutzbeauftragen (was ist etwa bei einer längeren, krankheitsbedingten Abwesenheit zu tun?), über die Auftragsdatenverarbeitung und Werbung sowie Adresshandel wird eine bunte Palette an Themen behandelt.

Die Datenschutzreform wird missbraucht – oder: Der Mythos Zweckbindung

In den letzten Tagen wurde in der Öffentlichkeit über einer Verwässerung des geplanten Datenschutzrechts und entsprechend negativ zu bewertende Änderungsvorschlage im Rat der Europäischen Union berichtet. Das schlimmste „Änderungswasser“ fließe vor allem aus deutschen Quelle.

Der Kollege Thomas Stadler hat nun bereits zweimal zu der derzeitigen Diskussion und meines Erachtens absolut verzerrenden Berichterstattung rund um die Verhandlungen zur Datenschutz-Grundverordnung geblogged und seine (meines Erachtens zu begrüßende) Kritik dargelegt: einmal hier und einmal dort . Ich selbst habe auf einen bisher im Prinzip gar nicht angesprochenen, aber für die Praxis immens wichtigen Änderungsantrag hingewiesen und wollte eigentlich nichts zu der allgemeinen Diskussion „gute Nation/böse Nation“ im Rat der Europäischen Union schreiben.
Jetzt möchte ich aber doch etwas inhaltliches(!) zu der Diskussion um die angebliche Abschaffung des Zweckbindungsgrundsatzes durch die Änderungsanträge im Rat schreiben. Mir geht es dabei gar nicht um die Diskussion, ob man den Zweckbindungsgrundsatz stärken oder abschwächen oder gar abschaffen möchte. Darüber kann und sollte man auf jeden Fall diskutieren. Mir geht es hierbei um eine schlicht falsche Darstellung der Zusammenhänge, vor allem mit Blick auf die aktuell geltende Rechtslage. Denn ich finde eine ausgewogene Berichterstattung, die den Anspruch hat, die Leser vollumfänglich zu informieren, darf bzw. sollte nicht tendenziös erfolgen. Also, nun mein kurzer Beitrag zu diesem fast schon als „Missbrauch“ zu bezeichnende tendenziös negative Berichtserstattung zur Datenschutzgrundverordnung und der Rolle Deutschlands.

Kennt die EU-Grundrechtecharta (PDF) den Zweckbindungsgrundsatz?

Ja. In Art. 8 Abs. 2 heißt es: „Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.“ (Hervorhebung durch mich)
Aber: hier wird eine Zweckänderung ja gerade nicht ausgeschlossen. Auch die Weiterverarbeitung erfolgt ja zu irgendeinem bestimmten Zweck. Klar, dieser ist dann ein anderer als jener der der Erhebung der Daten zugrunde lag. Aber er ist dennoch „festgelegt“. Damit ist Art. 8 Abs. 2 Genüge getan.

Kennt die aktuell geltende Datenschutz-Richtlinie das Verbot einer zweckändernden Verarbeitung?

Nein. Art. 6 Abs. 1 b) legt fest, dass personenbezogene Daten für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.

Zunächst einmal: der komplette zweite Halbsatz wäre überflüssig, wenn eine zweckändernde Weiterverarbeitung nicht zulässig wäre. Diese ist vielmehr gerade möglich. Die Weiterverarbeitung darf nicht in einer mit der Zweckbestimmung nicht zu vereinbarenden Weise erfolgen. Die „Weise“ ist aber etwas anderes als die reine Gegenüberstellung „ursprünglicher Zweck – neuer Zweck“. Es geht um die Umstände der Weiterverarbeitung. Dazu gehört auch der Zweck, aber auch Grundlage der Weiterverarbeitung oder getroffene Datensicherheitsmaßnahme (vgl. dazu auch die Stellungnahme von Sebastian Brüggemann und mir).

Verbietet das deutsche Datenschutzrecht eine zweckändernde Verarbeitung?

Nein, absolut nicht. § 28 Abs. 2 BDSG sieht vielmehr gerade die Möglichkeit der „Übermittlung oder Nutzung für einen anderen Zweck“ vor. Und dann auch noch nach § 28 Abs. 2 Nr. 2 BDSG „soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten“. Also, die Zweckänderung ist bereits derzeit(!) absolut zulässig und gesetzlich nicht etwa verboten (auch nicht wenn es um die Wahrung von Interessen Dritter geht), sondern gerade erlaubt.

Leider leider erwähnt diesen gesetzlichen Ist-Zustand in der öffentlichen Debatte und bei der Bewertung der Änderungsanträge der deutschen Delegation gegenüber den Lesern kaum jemand. Das ist wirklich schade. Denn nur so erhält man als nach Informationen suchender Leser ein Gesamtbild, oder? Die Datenschutzreform ist meines Erachtens für uns alle in Europa eine wirklich tolle Chance, ein Gesetz zum Umgang mit personenbezogenen Daten zu schaffen, das weltweite Standards setzen. Ja, wir sollten inhaltlich diskutieren. Bitte soviel wie möglich. Wir sollten den Datenschutz vorran bringen. Aber wir sollten die Reform nicht nutzen, um fundamentale Positionen völlig ab von der Realität zu zementieren.

Datenschutz und Lifestyle-Apps: Europäische Datenschützer fordern Schutz der Gesundheitsdaten

Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.

Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.

Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.

Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.

Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.

Gesetzliche Grundlage der Datenverarbeitung

Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.

Zu beachtende Datenschutzprinzipien

Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.