Gesetzentwurf zum automatisierten Fahren – Datenschutzrechtlich mangelhaft

Am 27. Januar 2017 hat das Bundeskabinett einen Gesetzesentwurf zur Anpassung des Straßenverkehrsgesetzes (StVG) beschlossen, um Regelungen für hoch- oder vollautomatisierte Fahrsysteme in KfZ zu schaffen. Zu dem Gesetzentwurf (PDF) habe ich hier einen kurzen allgemeinen Überblick gegeben.

Nachfolgend möchte ich mich etwas spezieller mit den datenschutzrechtlichen Implikationen des Vorschlags, dem neuen § 63a StVG-E, befassen. Um es vorwegzunehmen: meines Erachtens bietet der Entwurf eine datenschutzrechtliche Angriffspunkte.

Auch auf die Gefahr hin, zu pedantisch zu erscheinen, sollte man überlegen, die neue Überschrift „Abschnitt VIa Datenverarbeitung im Kraftfahrzeug“ anzupassen. Denn im nachfolgenden § 63a StVG-E geht es gerade nicht nur um Datenverarbeitungen im Kfz, sondern auch um den Umgang mit den Daten aus dem Speicher des Fahrzeugs durch Dritte.

 § 63a Datenverarbeitung bei Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion

(1) Kraftfahrzeuge mit hoch- oder vollautomatisierter Fahrfunktion gemäß § 1a zeichnen nach dem Stand der Technik entsprechend der internationalen Vorgaben jeweils auf, ob das Kraftfahrzeug durch den Fahrzeugführer oder mittels hoch- oder vollautomatisierter Fahrfunktionen gesteuert wird. Wird der Fahrzeugführer durch das hoch- oder vollautomatisierte System gemäß § 1a aufgefordert, die Fahrzeugsteuerung zu übernehmen, oder tritt eine technische Störung des hoch- oder vollautomatisierten Systems auf, findet gleichfalls eine Aufzeichnung nach dem Stand der Technik entsprechend den internationalen Vorgaben statt. (Hervorhebungen durch mich)

Der Gesetzgeber scheint davon auszugehen, dass das Kfz Daten aufzeichnet. Dies mag technisch zutreffend sein, wenn man davon ausgeht, dass in jedem Fahrzeug ein entsprechender Speicher eingebaut wird (werden muss). Datenschutzrechtlich würde man sich aber in jedem Fall die Frage stellen, wer konkret verpflichtet ist, die (personenbezogenen) Daten in dem Speicher aufzuzeichnen. Wer also, entsprechend der Definition in § 3 Abs. 7 BDSG die „verantwortliche Stelle“ ist. Nach § 3 Abs. 7 BDSG kann dies nur eine natürliche oder juristische Person oder Stelle sein. Das Kfz als Sache scheidet also aus. Da der Fahrzeugführer keinen Einfluss auf die Mittel der Speicherung der Daten (als die technischen Gegebenheiten) haben wird, dürfte der Schluss naheliegen, dass der Fahrzeughersteller als datenschutzrechtlich verantwortliche Stelle für die Speicherung anzusehen ist. Klar wird dies im Gesetzentwurf aber nicht. Der Fahrzeugführer hat keinen Einfluss darauf, welche Daten konkret und wie diese gespeichert werden.

 (2) Die gemäß Absatz 1 aufgezeichneten Daten sind den nach Landesrecht für die Überwachung des Straßenverkehrs zuständigen Behörden auf deren Verlangen zu übermitteln. (Hervorhebungen durch mich)

In § 63a Abs. 2 S. 1 StVG-E geht es dem klaren Wortlaut nach um eine Übermittlung der Daten aus dem Speicher an Behörden. Auch hier schließt sich aber die bereits oben aufgeworfene Frage an, wer für die Übermittlung der Daten aus dem Speicher datenschutzrechtlich verantwortlich ist? Auch hier ließe sich an den Fahrzeughersteller denken. Der Fahrzeugführer selbst hat keinen Einfluss auf die Übermittlung auf dem Speicher an die Behörden.

Zudem ist zu beachten, dass von einer „Übermittlung“ ausgegangen wird. Das bedeutet, dass die datenempfangende Stelle datenschutzrechtlich ein „Dritter“ sein muss (vgl. § 3 Abs. 4 S. 3 BDSG).

 Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden. Der Umfang der Datenübermittlung ist auf das Maß zu beschränken, das für den Zweck der Feststellung des Absatzes 1 im Zusammenhang mit der eingeleiteten Kontrolle durch diese Behörden notwendige ist. Davon unberührt bleiben die allgemeinen Regelungen zur Verarbeitung personenbezogener Daten. (Hervorhebungen durch mich)

 Nach § 63a Abs. 2 S. 2 StVG-E dürfen die aus dem Speicher übermittelten Daten durch „diese“ gespeichert und genutzt werden. Mit „diese“ kann nur aus S. 1 und die Behörde Bezug genommen sein. Es stellt sich aber die Frage, für welche Zwecke die Behörde die Daten verwenden darf? Dies wird in S. 2 nicht erläutert.

Zwar wird zumindest grob in S. 3 ein Zweck beschrieben („Zweck der Feststellung des Absatzes 1“). Jedoch bezieht sich diese Zweckbestimmung allein auf die in S. 3 angesprochene Datenübermittlung und deren Umfang. Es fehlt an einem verbindenden Element zu S. 2 und der Speicherung und Nutzung.

Nun mag man sich fragen, ob sich der Zweck der Datenverwendung denn nicht aus dem Zusammenhang ergebe. Dies kann man evtl. so sehen. Jedoch könnte diese Ungenauigkeit im Gesetz spätestes ab Mai 2018, wenn die Datenschutz-Grundverordnung anwendbar ist, dazu führen, dass die nationalen Regelungen gegen die Vorgaben von Art. 6 Abs. 2 und 3 DSGVO verstoßen. Art. 6 Abs. 3 DSGVO dürfte wohl den Maßstab für die hier in Rede stehenden gesetzlichen Erlaubnistatbestände der Datenverarbeitung durch Behörden darstellen. Nach Art. 6 Abs. 3 DSGVO wird die Rechtsgrundlage für die Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO), durch das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt. In dieser Rechtsgrundlage muss aber entweder der Zweck der Verarbeitung angegeben sein (der hier für die Speicherung und Nutzung fehlt) oder die Verarbeitung muss für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Man mag nun argumentieren, dass die Speicherung und Nutzung (§ 63a Abs. 2 S. 2 StVG-E) der Daten für die Erfüllung einer Aufgabe erforderlich sind, die in Ausübung öffentlicher Gewalt erfolgt. Hier kann man aber schon fragen, was konkret diese Aufgabe (mit Blick auf die Speicherung und Nutzung der Daten) ist. Wie gesagt, der „Zweck der Feststellung“ bezieht sich nur auf die Datenübermittlung. Dann ist jedoch immer noch die Vorgabe des Art. 6 Abs. 2 DSGVO zu beachten, nach dem national spezifischere Bestimmungen zur Anpassung der Anwendung u.a. von Art. 6 Abs. 1 lit. e) DSGVO eingeführt werden dürfen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung gewährleisten. Zu den Grundsätzen „Treu und Glauben“ und „Rechtmäßigkeit“ zählt auch die Transparenz der Datenverarbeitung gegenüber betroffenen Personen. Diese müssen wissen, für welche Zwecke Daten verarbeitet werden (vgl. auch ErwG 39 DSGVO). Ob diese Anforderungen hier erfüllt sind, darüber mag man diskutieren.

Begründung zum Gesetzentwurf, S. 22:

Absatz 2 des § 63a StVG (neu) regelt die Übermittlung und Verarbeitung der aufgezeichneten Daten für Kontrollen. Daneben bleibt das Zugangsregime nach anderen Vorschriften, wie zum Beispiel der Strafprozeßordnung (StPO) unberührt. Die Verpflichtung zur Übermittlung der Daten trifft den Datenverantwortlichen. (Hervorhebungen durch mich)

Hieraus könnte man zwar die Zwecke der Verarbeitung durch Behörden ableiten. Jedoch muss kritisch angemerkt werden, dass die Zwecke nicht im Gesetz selbst erwähnt sind.

Völlig unklar ist, wenn der Gesetzgeber mit dem „Datenverantwortlichen“ meint. Dieser soll zur Übermittlung verpflichtet sein. Handelt es sich hierbei um die „verantwortliche Stelle“ des BDSG? Ist der Datenverantwortliche also z. B. der Fahrzeughersteller?  Leider bleiben diese Fragen unbeantwortet.

(3) Dritten sind die gemäß Absatz 1 gespeicherten Daten zu übermitteln, wenn sie glaubhaft machen, dass

1. die Daten zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis erforderlich sind und

2. das entsprechende Kraftfahrzeug mit automatisierter Fahrfunktion an diesem Ereignis beteiligt war. Absatz 2 Satz 2 findet entsprechend Anwendung. (Hervorhebungen durch mich)

 Nach § 63a Abs. 3 S. 1 StVG-E sollen die Daten auch noch an andere „Dritte“ übermittelt werden. Auch die in Abs. 2 referenzierten Behörden sind Dritte (siehe oben). Es stellt sich dann aber die Frage, welcher qualitative Unterschied zwischen den Dritten in Abs. 2 und Abs. 3 besteht. Oder ob ein solcher überhaupt existiert? Gilt Abs. 3 also evtl. auch für Behörden?

Dies mag man mit dem Argument ablehnen, dass doch klar sei, dass es hier in Abs. 3 um den am Unfall Beteiligten gehe. So klar ist dies meines Erachtens jedoch nicht. Denn aus dem Wortlaut ergibt sich nicht, dass der Dritte selbst einen Anspruch geltend machen muss. Die Daten müssen allgemein einfach zur Geltendmachung erforderlich sein, jedoch nicht notwendigerweise durch den die Daten empfangenden Dritten.

Begründung zum Gesetzentwurf, S. 22:

Absatz 3 gibt Beteiligten an einem Unfall (Dritte), in dem potenziell Fahrzeuge mit automatisierten Systemen verwickelt sind, die Möglichkeit, die aufgezeichneten Daten zu erhalten. (Hervorhebungen durch mich)

Mit dieser Begründung wird klarer, dass es sich bei dem Dritten um am Unfall Beteiligte handelt. Wie gesagt, lässt sich dies dem Wortlaut des Gesetzes aber nicht entnehmen.

Auch in Abs. 3 stellt sich erneut die Frage, wer denn datenschutzrechtlich für die Übermittlung verantwortlich ist? Die Gesetzesbegründung (siehe oben) bezieht sich nur auf Abs. 2.

Nach § 63a Abs. 3 S. 2 StVG-E soll „Absatz 2 Satz 2“ entsprechend Anwendung finden. Dort heißt es: „Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden“. Auch hier fehlt also erneut eine Zweckbestimmung für die Speicherung und Nutzung der Daten bei den Dritten. Die Vorschrift endet schlicht mit der Anordnung der Übermittlung.

Zuletzt: dass es sich bei den Informationen in dem internen Speicher im Kfz um personenbezogene Daten handelt, dürfte wohl kaum bestreitbar sein. Hierfür sprechen auch mehrere Hinweise im Gesetzentwurf selbst, wenn etwa von dem eindeutigen “Identifikationsdatum des Speichermediums (Speicher-ID)” gesprochen wird, das beim Kraftfahrt-Bundesamt ergänzt werden muss. Die Zulassungsbehörden müssen etwa auch zusätzlich das eindeutige Identifikationsdatum des Speichermediums (Speicher-ID) erfassen (S. 15).

UN-Wirtschaftskommission für Europa: Datenschutz- und IT-Sicherheitsstandards für vernetzte Fahrzeuge

Eine informelle Arbeitsgruppe der Wirtschaftskommission für Europa der Vereinten Nationen (kurz UNECE), die u.a. Vorschläge und Vorlagen für ECE-Regelungen für Kraftfahrzeuge entwickelt, hat einen Vorschlag für Leitlinien zur IT-/Netz-Sicherheit und zum Datenschutz bei vernetzten Fahrzeugen und Kraftfahrzeugen mit automatisierten Fahrfunktionen veröffentlicht („Proposal for draft guidelines on cyber security and data protection“, PDF).

Die Vorschläge, die im März 2017 bei der Sitzung des UN/ECE-Weltforums für die Harmonisierung der Regelungen für Kraftfahrzeuge angenommen werden sollen, sind von besonderer Relevanz, da hierdurch einheitliche internationale Vorgaben zur IT-Sicherheit und zum Datenschutz bei intelligenten Fahrzeugen eingeführt werden könnten.

In dem Entwurf wird einleitend auf die Notwendigkeit klarer Vorgaben zur IT-Sicherheit und zum Datenschutz in vernetzten Fahrzeugen und solchen mit automatisierten Fahrfunktionen hingewiesen. Es müsse sichergestellt werden, dass Fahrzeuge vor äußeren Störungen und Manipulationen geschützt sind.

Die Leitlinien sollen für Fahrzeughersteller, System- und Teilezulieferer und Anbieter von Diensten, die auf den Fahrzeugsystemen installiert werden, gelten und diesen Vorgaben machen, um ein hohes IT-Sicherheitsniveau zu erreichen. Zudem sollen diese Leitlinien als Grundlage für die Entwicklung von Vorgaben in UN-Richtlinien dienen.

Wichtig ist zudem der Hinweis, dass die Leitlinien keinen Einfluss auf geltendes Datenschutzrecht haben. Die Vorgaben gliedern sich in vier Themenkomplexe, die ein vernetztes Fahrzeug bzw. ein solches mit automatisierten Fahrfunktionen jeweils erfüllen muss:

-          Allgemeine Vorgaben.

-          Datenschutz.

-          Safety (iSv „Betriebssicherheit“).

-          Security (iSv „Angriffssicherheit“).

Generell dürfen personenbezogene Daten in Fahrzeugen nur auf rechtlich zulässige und insbesondere transparente Weise verarbeitet werden. Das Datenschutzrecht ist also zu beachten. Fahrzeughersteller, System- und Teilezulieferer sowie Diensteanbeiter sollen die Prinzipien „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Privacy by Default) beachten. Bereits auf der Ebene der Fertigung von Komponenten für vernetzte Fahrzeuge soll also der Datenschutz Beachtung finden. Diese Prinzipien finden sich etwa auch in der ab Mai 2018 unmittelbar anwendbaren EU Datenschutz-Grundverordnung. Zudem sollen die benannten Akteure sicherstellen, dass Datenverbindungen und –kommunikation nur verschlüsselt erfolgen.

Betroffene Personen sollen umfassend und klar darüber informiert werden, welche Daten von ihnen verarbeitet werden und für welche Zwecke dies geschieht. Dem Grundsatz der Datensparsamkeit folgend, sollen nur soviele Daten erhoben werden, wie für den konkreten Zweck erforderlich sind.

Auf Betriebssicherheitsebene sollen Standards, wie etwa ISO 26262, angewendet werden. Zudem werden gewisse Vorgaben an die Datenverbindung und –kommunikation selbst gemacht. Diese dürfen nicht andere Systeme beeinflussen, die Informationen erzeigen, die für die Kontrolle eines Fahrzeugs erforderlich sind. Zudem sollen die Verbindungen derart beschaffen sein, dass falsche Zugriffe oder auch Manipulationen am System über diese Verbindungen nicht möglich sind.

Zur erforderlichen Angriffssicherheit der Fahrzeuge und Systeme wird die Anforderung aufgestellt, dass Sicherheitsstandards, wie etwa nach ISO 27000 und ISO/IEC 15408, umgesetzt werden sollen. Zudem sollen vernetzte Fahrzeuge etwa mit der Fähigkeit ausgestattet sein, kryptographische Schlüssel verwalten zu können.

Man darf gespannt sein, in welcher Form diese Leitlinien am Ende durch das UN/ECE-Weltforum für die Harmonisierung der Regelungen für Kraftfahrzeuge beschlossen werden und in Zukunft die Mindeststandards für intelligente Fahrzeuge darstellen könnten. Auffällig ist, dass die vorgeschlagenen Maßnahmen oder Prinzipien inhaltlich nicht neu sind und mit Blick auf EU-Gesetze wie die Datenschutz-Grundverordnung oder den Vorschlag für die ePrivacy-Verordnung, viele gesetzliche Vorgaben aufnehmen. Klar ist jedoch: ohne Maßnahmen zur IT-Sicherheit und zum Datenschutz geht es nicht mehr.

Deutscher Juristentag: Entgeltlicher Vertrag bei Datennutzung aufgrund einer Einwilligung

Gestern wurden die Beschlüsse des 71. Deutschen Juristentages veröffentlicht (PDF). Teilweise beziehen sich diese auch auf interessante Fragen des Datenschutzrechts und die umstrittene Thematik „Daten als Entgelt“. Nachfolgend möchte ich einige dieser Beschlüsse näher darstellen.

Zu der Frage, ob und wenn ja wann bei einem Austausch von Daten von einem entgeltlichen bzw. unentgeltlichen Vertrag auszugehen ist, wurden folgende Anträge abgelehnt und angenommen:

Erlangt der Anbieter Daten, die ihm vom Nutzer zur Verfügung gestellt wurden oder die er auf andere Weise erhoben hat, so ist stets von einer Gegenleistung (Entgelt) auszugehen.

Dieser Antrag wurde abgelehnt. Meines Erachtens zu Recht, da ansonsten bei jeglichem Austausch von Daten (also etwa bei Übertragung der IP-Adresse im Rahmen des Besuchs einer Webseite) von einem entgeltlichen Vertrag auszugehen wäre.

Von einem Entgelt ist nur auszugehen, wenn die Datennutzung aufgrund des Datenschutzrechts nur mit Einwilligung des Betroffenen zulässig ist.

Dieser Antrag wurde angenommen. Von einem Entgelt soll zum einen nur ausgegangen werden, wenn es sich um personenbezogene Daten handelt. Denn nur in diesem Fall bewegen wir uns im Bereich des “Datenschutzrechts”. Kritisieren kann man, dass nicht klar ist, warum eine Entgeltlichkeit nur bei Vorliegen einer Einwilligung angenommen werden sollte. Eventuell möchte man eine Abgrenzung zu einer Verarbeitung schaffen, die für die Durchführung und Abwicklung eines Vertragsverhältnisses erforderlich ist. Es existieren jedoch (neben der Einwilligung) auch andere Erlaubnistatbestände im Datenschutzrecht, die die Datennutzung als zulässig erachten, ohne dass ein Vertrag vorliegen muss. Beispielsweise bei einem Vorliegen berechtigter Interessen des Verantwortlichen. In diesem Fall würde man, dem obigen Beschluss folgend, keine Entgeltlichkeit annehmen. Zudem könnte man die Frage stellen, ob die Abhängigkeit der Entgeltlichkeit von der Einwilligung sinnvoll ist, wenn man sich überlegt, dass teilweise das Gesetz verpflichtend die Einholung einer Einwilligung vorsieht. Auch kann man die Frage stellen, was in Situationen geschieht, in denen die Datennutzung gerade nicht zulässig ist, weil die Einwilligung unwirksam ist. Liegen dann unentgeltliche Verträge vor?

Speziell zum Thema „Datenschutz“ wurden ebenfalls Beschlüsse gefasst.

„Das Inkrafttreten der Datenschutz-Grundverordnung sollte zum Anlass genommen werden, das Recht des Arbeitnehmerdatenschutzes u?ber § 32 BDSG hinaus umfassend neu zu regeln.“

Dieser Antrag wurde angenommen. Damit spricht sich der DJT für eine umfassende Neuregelung des Beschäftigtendatenschutzes aus. Der Anfang September veröffentliche Referentenentwurf für das ABDSG lässt jedoch vermuten, dass die entsprechende Öffnungsklausel in der Datenschutz-Grundverordnung nicht genutzt wird, um über die bisher bekannte Regelung des § 32 BDSG hinauszugehen.

„Das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG ist auch auf die nicht automatisierte Datenverarbeitung zu erstrecken.“

Auch dieser Antrag wurde angenommen. Insbesondere im Rahmen des Beschäftigtendatenschutzes spielt diese Vorschrift eine wichtige Rolle.

Datenschutzrechtliche Folgen des WLAN-Urteils des EuGH

Das heutige Urteil des Europäischen Gerichtshofs (C-484/14) in der Sache Mc Fadden und seine konkreten Folgen für die Haftungssituation der Anbieter von WLANs in der Öffentlichkeit, insbesondere für das im Sommer diesen Jahres überarbeitete Telemediengesetz (neuer § 8 Abs. 3 TMG), werden bereits heftig diskutiert.

Ich möchte mich nachfolgend gar nicht so sehr mit den Feststellungen des EuGH zur Haftung eines Anbieters eines WLANs befassen. Vielmehr möchte ich nachfolgend kurz auf die durch den EuGH aufgestellte Anforderung eingehen, dass ein Anbieter, wenn ein Nutzer des von ihm angebotenen offenen WLANs beispielsweise Urheberrechtsverletzungen begeht, gerichtlich dazu verpflichtet werden kann, hinreichend wirksame Maßnahmen zu ergreifen, um einen wirkungsvollen Schutz des Rechts des geistigen Eigentums sicherzustellen.

Nach Auffassung des EuGH muss eine solche Maßnahme bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des WLAN-Anbieters in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die Schutzgegenstände zuzugreifen (Rz. 95).

Im vorliegenden Fall entschied das Gericht, dass unter den gegebenen Umständen eine Maßnahme, die in der Sicherung des Internetanschlusses durch ein Passwort besteht, als erforderlich anzusehen ist (Rz. 99). Das vorlegende deutsche Gericht zog überhaupt nur drei mögliche Maßnahmen in Betracht; meines Erachtens ist daher auch nicht ausgeschlossen, dass andere, in diesem Verfahren nicht erwähnte Maßnahmen, ebenfalls als wirksame Alternativen angesehen werden könnten. Der EuGH verweist mehrmals ausdrücklich darauf, dass seine Prüfung vorliegend allein auf die drei durch das deutsche Gericht erwähnten Maßnahmen beschränkt ist.

Eine solche Sicherung des WLANs durch ein Passwort könnte, so der EuGH, die Nutzer dieses Anschlusses davon abschrecken, ein Urheberrecht oder verwandtes Schutzrecht zu verletzen, soweit diese Nutzer ihre Identität offenbaren müssen, um das erforderliche Passwort zu erhalten, und damit nicht anonym handeln können (Rz. 96).

Der EuGH macht die zu erzielende Abschreckungswirkung davon abhängig, dass sowohl ein Passwort vergeben werden muss und dieses zwingend von der Offenbarung der Identität der WLAN Nutzer abhängt. Das Ergebnis dieser Maßnahme muss nach dem Urteil des EuGH sein, dass die Nutzer „nicht anonym handeln können“.

Damit gestattet es der EuGH, dass WLAN Anbieter gerichtlich dazu verpflichtet werden können personenbezogenen Daten der Nutzer zur Identifizierung zu verarbeiten. Sie müssen ihre „Identität offenbaren“. Folglich wird diese Entscheidung auch datenschutzrechtliche Implikationen für die Anbieter von offenen WLANs haben. Sie können quasi dazu gezwungen werden, personenbezogene Daten zum Zweck der Identifizierung der Nutzer zu verarbeiten. Insbesondere dürfte es nach dem Urteil des EuGH nicht ausreichen, wenn etwa Pseudonyme vergeben werden können oder man sich zum Beispiel auch nur mit seinem Nachnamen anmelden könnte. Das Gericht bekräftigt mehrmals, dass der Nutzer seine Identität offenbaren müsse. Dies wird aber im Ergebnis nur möglich sein, wenn der Nutzer seinen vollen Namen und eventuell weitere personenbezogene Daten angibt.

Aus Sicht eines Anbieters eines WLAN muss sich dann unweigerlich die Frage stellen, auf der Grundlage welches Erlaubnistatbestandes die Verarbeitung entsprechender personenbezogener Daten zur Identifizierung eines Nutzers erlaubt ist.

Dabei wird sich zuallererst die Frage stellen, welches Gesetz überhaupt die einschlägigen datenschutzrechtlichen Regelungen für den Umgang mit personenbezogenen Daten in einem offenen WLAN bereithält. Man könnte zunächst freilich davon ausgehen, dass die datenschutzrechtlichen Regelungen der §§ 11 ff. TMG Anwendung finden, da es ja in dem Urteil um europäische Vorgaben gehen, welche ihre Umsetzung ebenfalls im TMG (§§ 7 und 8) finden. Hier ist jedoch zu beachten, dass die Frage, wer datenschutzrechtlich verantwortlich ist, wer also die „verantwortliche Stelle“ (§ 3 Abs. 7 BDSG) ist, zunächst einmal nach den Vorgaben des BDSG richtet. Dies auch, soweit es die datenschutzrechtlichen Regelungen des TMG betrifft.

Verantwortlich für die Datenverarbeitung (konkret die Identifizierung der Nutzer und die Vergabe eines Passwortes) wird hier in den meisten Fällen natürlich der Anbieter des WLANs sein. Wenn dieser im Rahmen einer vorgeschalteten Webseite, bevor der Nutzer in den Genuss des Zugangs zum freien Internet kommt, personenbezogene Daten, etwa zur Identifizierung erhebt und verarbeitet, dürfte die Datenverarbeitung über diese Website im Rahmen des Bereithaltens eigener Telemedien erfolgen (freilich mag man hier auch die Frage stellen, ob eine Identifizierung über eine Webseite überhaupt wirksam möglich ist). Jedoch erscheint fraglich, ob etwa der Erlaubnistatbestand des § 15 Abs. 1 TMG (also für den Umgang mit Nutzungsdaten; Bestandsdaten nach § 14 dürften nicht vorliegen, da kein Vertragsverhältnis mit dem WLAN-Anbieter besteht) die Verarbeitung personenbezogene Daten zur Identifizierung eines Nutzers gestattet. Zwar darf der Anbieter nach § 15 Abs. 1 TMG personenbezogene Daten eines Nutzers verwenden, jedoch nur soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums (also etwa der vorgeschalteten Anmeldewebseite) zu ermöglichen. Man könnte jedoch wohl auch die Auffassung vertreten, dass die Verarbeitung personenbezogener Daten für eine Identifizierung des Nutzers ja nicht unbedingt erforderlich ist um die vorgeschaltete Webseite zu nutzen, sondern allein den Zweck hat um nach gelagert von dem Internetzugang profitieren zu können. Das Telemedium ist nur die Anmeldeseite, nicht der nachgelagerte Zugang zum Internet. Möglicherweise kann man sich hier nur mit der Einholung einer Einwilligung nach § 13 Abs. 2 TMG behelfen. Sollte die Identifzierung dagegen “offline” erfolgen (beispielsweise prüft der Kellner im Cafe die Ausweise), würde sich die Datenverarbeitung nach den Vorgaben des BDSG richten.

Daneben muss noch beachtet werden, dass die Anbieter von WLANs als sog. “Diensteanbieter” im Sinne des § 3 Nr. 6 b) TKG angesehen werden, da sie an der Erbringung von Telekommunikationsdiensten mitwirken. Diese Auffassung vertritt unter anderem die Bundesnetzagentur (Amtsblattmitteilung Nr. 149, 2015, PDF). Dies hat zur Folge, dass grundsätzlich auch die spezialgesetzlichen Regelungen zum Datenschutz im TKG (§§ 91 ff) Anwendung finden. Möglicherweise könnten die Informationen zum Passworte und zur Identität der Nutzer auch unter den Begriff der „Verkehrsdaten“ nach § Nr. 30 TKG fallen. Deren Verarbeitung richtet sich nach den Vorgaben des § 96 TKG.

Man wird abwarten müssen, wie sich die Folgen des Urteils in der Praxis auswirken und mit den nun aufgestellten Vorgaben des Urteils umgegangen wird. Anbieter von WLANs sollten aber in jedem Fall auch die mit diesen Vorgaben des EuGH einhergehenden datenschutzrechtlichen Folgen beachten.

Europäische Datenschützer: WhatsApp und Co. sollen wie TK-Anbieter reguliert werden

Die Europäische Kommission überarbeitet derzeit die geltenden Regeln zum Schutz der Privatsphäre und der Vertraulichkeit im Bereich der elektronischen Kommunikation. Die für diese Thematik einschlägige Richtlinie 2002/58/EG (konsolidiert durch Richtlinie 2009/136/EG, pdf; sog. ePrivacy Richtlinie) soll reformiert werden.

In einer neuen Stellungnahme (Stellungnahme 3/2016, pdf) haben sich nun auch die Vertreter der Datenschutzbehörden der verschiedenen Mitgliedstaaten (die Art. 29 Datenschutzgruppe) zu diesen Reformplänen geäußert und ihre Wünsche und Vorschläge für ein zukünftiges Regelwerk eingebracht.

Grundsätzlich unterstützen die Datenschützer das Ansinnen der europäischen Kommission, spezifische rechtliche Vorgaben für den Schutz der Privatsphäre und der Vertraulichkeit im Rahmen der elektronischen Kommunikation zu kreieren. Für den Schutz personenbezogener Daten gilt ab dem vom 20. Mai 2018 die Datenschutz-Grundverordnung (DSGVO). Die Vertraulichkeit der Kommunikation sollte jedoch durch ein spezielles rechtliches Instrument geschützt sein.

Nach Auffassung der Art. 29 Datenschutzgruppe werden die Regelungen der DSGVO nicht gelten, soweit die ePrivacy Richtlinie spezifische Pflichten mit demselben Ziel (wie jene in der DSGVO) vorsieht (Art. 95 DSGVO). In allen anderen Fällen soll die DSGVO anwendbar sein. Da jedoch, so die Datenschützer, Verkehrs-, Kommunikations- und Standortdaten in den meisten Fällen personenbezogene Daten darstellen, wird es in der Zukunft in einigen Fällen zu Überschneidungen der beiden gesetzlichen Instrumente kommen.

Der Wunsch der Datenschützer ist es, dass die Nachfolgeregelungen zur ePrivacy Richtlinie zusätzliche Vorgaben zum Schutz der Sicherheit der elektronischen Kommunikation vorsehen. Diese Schutzpflichten sollen insbesondere auch nicht davon abhängig sein, ob personenbezogene Daten verarbeitet werden.

Die Art. 29 Datenschutzgruppe fordert, dass die Nachfolgeregelungen zur ePrivacy Richtlinie den Wesensgehalt der aktuellen Regelungen beibehalten, diese jedoch effektiver und für die Praxis leichter anwendbar ausgestaltet werden sollen, insbesondere durch die Ausweitung des Anwendungsbereichs der Regelungen zur Geolokalisierung und den Verkehrsdaten.

Viele der aktuell geltenden Vorgaben der ePrivacy Richtlinie sind nicht auf Anbieter von Internettelefonie- , E-Mail- oder Kurznachrichtendiensten anwendbar. Nach Auffassung der Datenschützer muss die Nachfolgeregelung zur ePrivacy Richtlinie die Privatsphäre und Vertraulichkeit bei der Nutzung solcher Dienste, die sich für europäische Anwender als funktional gleichwertig zu den klassischen elektronischen Kommunikationsdiensten darstellen, schützen. Die Art. 29 Datenschutzgruppe Events in ihrer Stellungnahme beispielhaft Dienste wie WhatsApp, Google GMail, Skype and Facebook Messenger (sog. OTT-Dienste). Insbesondere müsse ein solcher Schutz für private Nachrichten zwischen einzelnen Nutzern oder auch Gruppen geschaffen werden. Die gesetzliche Verpflichtung zur Sicherstellung der Vertraulichkeit der Kommunikation muss nach Auffassung der Datenschützer ebenso für diese Diensteanbieter gelten.

Als problematisch sehen die europäischen Datenschützer die derzeit teils erheblich divergierende Auslegung und Anwendung der Regelungen der ePrivacy Richtlinie in den europäischen Mitgliedstaaten an. Welches gesetzgeberische Instrument die europäische Kommission für die Nachfolgeregelungen wählen soll, lassen die Datenschützer im Ergebnis zwar offen. Sie fordern jedoch, dass die neuen Regelungen eindeutig und klar sein müssen. Sollte eine Richtlinie gewählt werden, so dürften deren Regelungen nach Ansicht der Datenschützer jedoch nur wenig Interpretationsspielraum für die Mitgliedstaaten ermöglichen. Der europäische Datenschutzbeauftragte hat sich kürzlich in einer eigenen Stellungnahme (pdf) für das Instrument der Verordnung stark gemacht.

Auch fordert die Art. 29 Datenschutzgruppe, dass die Verarbeitung personenbezogener Daten im Rahmen des Angebots von öffentlich zugänglichen elektronischen Kommunikationsdiensten oder auch öffentlich zugänglichen privaten elektronischen Kommunikationsnetzen den Nachfolgeregelungen der ePrivacy Richtlinie unterfallen soll. Die Datenschützer beziehen sich hier auf das Angebot von WLANs in der Öffentlichkeit, etwa in Hotels, Bars oder Geschäften. Interessanterweise wird auch die Schaffung eines Hotspots durch eine Privatperson in die Überlegungen mit einbezogen.

Hinsichtlich des bekannten Art. 5 Abs. 3 (sog. Cookie-Regelung) fordern die Datenschützer, dass die geltenden Regelungen mit dem Ziel überarbeitet werden, die Vertraulichkeit der von Nutzern eingesetzten Geräte besser zu schützen. Die zukünftigen Vorgaben zur Erhebung bzw. zum Zugriff auf Informationen in dem Gerät eines Nutzers sollten weder von der Art des eingesetzten Gerätes noch von der Technologie des Unternehmens zum Zugriff auf die Informationen abhängen. Zusätzlich fordern die Datenschützer jedoch auch, dass die Europäische Kommission über weitere Ausnahmeregelungen für das grundsätzliche Erfordernis einer Einwilligung des Nutzers nachdenkt. Insbesondere soll es dann keine Einwilligung des Nutzers bedürfen, wenn die Verarbeitung von Informationen keine oder nur wenig Einfluss auf die Rechte der Nutzer und insbesondere auf die Vertraulichkeit der Kommunikation und ihre Privatsphäre hat. Beispielhaft nennen die Datenschützer hier das Thema „Sicherheit“. Wenn eine Verarbeitung von Informationen allein dafür erforderlich ist, um proaktiv oder auch defensiv ausgerichtet die technische Sicherheit eines Netzwerkes oder eines Dienstes zu gewährleisten, soll eine Einwilligung nicht erforderlich sein. Ein anders Beispiel sehen die Datenschützer im Bereich „Anonymisierung“. Wenn Informationen direkt nach der Erhebung unwiederbringlich anonymisiert werden, sei es auf dem Gerät oder an den Endpunkten des Netzwerkes, sollte eine Einwilligung nicht erforderlich sein. Diese Ausnahme dürfte jedoch zum Beispiel dann nicht gelten, wenn der Anbieter weiterhin Zugang zur den Quelldaten hat und damit die Möglichkeit einer De-Anonymisierung besteht.

Generalanwalt zur Vorratsdatenspeicherung: Ja, aber…

Heute hat der Generalanwalt am europäischen Gerichtshof (EuGH), Saugmandsgaard Øe, seine Schlussanträge in den verbundenen Rechtssachen C-203/15 und C-698/15 vorgelegt. Es geht um die, gerade auch aus deutscher Sicht, wichtige Frage, inwiefern nationale Regelungen, die eine Speicherung von Kommunikationsdaten auf Vorrat vorsehen, mit europäischem Recht vereinbar sind.

Die Schlussanträge des Generalanwalts sind sehr ausführlich. Ich möchte daher nachfolgend nur einige Schlaglichter auf aus meiner Sicht besonders interessante Aspekte werfen.

Deutsche Regierung: Pflicht zur Vorratsdatenspeicherung nach EU-Recht zu beurteilen

Im Rahmen des Gesetzgebungsverfahrens zur Anpassung des Telekommunikationsgesetzes (TKG) in Deutschland und zur Einführung der Vorratsdatenspeicherung wurde teilweise vertreten, dass die neuen nationalen Regelungen sich nicht an europäische Standards messen lassen müssten, damit den neuen Regelungen im TKG kein europäisches Recht durchgeführt wird. Die deutsche Regierung hat bereits im Gesetzgebungsentwurf darauf hingewiesen, dass ihre Ansicht nach sehr wohl europäische Vorgaben zu beachten sind. Diese Ansicht bekräftigt die Bundesregierung noch einmal in dem Verfahren vor dem EuGH (Rz. 91). Die generelle Verpflichtung zur Vorratsspeicherung stellt eine Durchführung des Art. 15 Abs. 1 der Richtlinie 2002/58 dar. Auch die neuen Regelungen im TKG müssen also die Vorgaben europäischen Rechts beachten und aus diesem Grunde ist auch der Ausgang des hier vorliegenden Verfahrens für die Vorratsdatenspeicherung in Deutschland von besonderem Interesse.

Trennung zwischen Speicherung und Zugang

Der Generalanwalt trennt in seinen Schlussanträgen grundsätzlich zwischen der Verpflichtung und technischen Phase der Speicherung von Verkehrsdaten einerseits und dem späteren Zugang und technischen Zugriff auf diese gesammelten Verkehrsdaten durch nationale Behörden andererseits. Die Pflicht zur Speicherung fällt nicht unter die Ausnahmeregelung des Art. 1 Abs. 3 der Richtlinie 2002/58 (für Tätigkeiten im Rahmen der öffentlichen Sicherheit, der Landesverteidigung, der Sicherheit des Staates und der Tätigkeit des Staates im strafrechtlichen Bereich). Denn die Pflicht zur Speicherung trifft private Wirtschaftsteilnehmer im Rahmen ihrer privaten Tätigkeit (Rz. 94). Die in Art. 15 Abs. 1 der Richtlinie 2002/58 erlaube gerade die Einführung einer generellen Verpflichtung zur Vorratsdatenspeicherung. Die Inanspruchnahme dieser Befugnis durch den nationalen Gesetzgeber ist jedoch von der Einhaltung strenger Voraussetzungen abhängig (Rz. 116).

Der Generalanwalt stellt auch klar, dass seiner Ansicht nach die nationalen Bestimmungen die den Zugang zu den auf Vorrat gespeicherten Daten regeln nicht in den Anwendungsbereich der europäischen Charta der Grundrechte fallen (Rz. 123). Jedoch könne man seiner Ansicht nach die Problematik der Vorratsspeicherung und diejenige des nachgelagerten Zugangs nicht vollständig voneinander getrennt beobachten. Denn die konkrete Ausgestaltung des Zugangs ist von entscheidender Bedeutung für die Beurteilung der Frage, ob die Bestimmungen zur Einführung der Vorratsdatenspeicherung (also die vorgelagerte 1. Stufe) mit der Charta der Grundrechte der Europäischen Union und den Vorgaben der Richtlinie 2002/58 vereinbar sind (Rz. 125).

Zweifacher Eingriff: 6 kumulative Voraussetzungen zu erfüllen

Nach Auffassung des Generalanwalts stellt die generelle Verpflichtung zur Vorratsdatenspeicherung sowohl ein Eingriff in die in der Richtlinie 2002/58 verankerten Rechte als auch in die in den Art. 7 und 8 der Charta der Grundrechte verankerten Grundrechte dar (Rz. 127). Für eine Rechtfertigung dieser Eingriffe müssen sowohl die Vorgaben von Art. 15 Abs. 1 der Richtlinie 2002/58 und von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union, ausgelegt im Lichte des Urteils des EuGH in Sachen Digital Rights Ireland, erfüllt sein. Nach Auffassung des Generalanwalts müssen folgende Voraussetzungen kumulativ erfüllt werden:

  • Die Vorratsspeicherungspflicht muss eine gesetzliche Grundlage haben;
  • sie muss den Wesensgehalt der in der Charta verankerten Rechte wahren;
  • sie muss einer dem Gemeinwohl dienenden Zielsetzung entsprechen;
  • sie muss zur Verfolgung dieses Ziels geeignet sein;
  • sie muss für die Verfolgung des genannten Ziels erforderlich sein, und
  • sie muss in einer demokratischen Gesellschaft in angemessenem Verhältnis zur Verfolgung dieses Ziels stehen.

Einfache Kriminalität rechtfertigt keine generelle Verpflichtung zur Vorratsdatenspeicherung

teilweise wurde in dem Verfahren vorgebracht, dass jede Zielsetzung, die in Art. 15 Abs. 3 der Richtlinie 2002/58 oder auch in Art. 13 Abs. 1 der geltenden Datenschutzrichtlinie (95/46/EG) genannt sei eine generelle Verpflichtung zur Vorratsdatenspeicherung rechtfertigen könne auch bei Straftaten im Rahmen „einfacher“ Kriminalität oder im Kontext nicht strafrechtlicher Verfahren wäre die generelle Verpflichtung zur Vorratsdatenspeicherung gerechtfertigt (Rz. 169). Diese Auffassung teilt der Generalanwalt nicht. Seiner Ansicht nach schließt es das Erfordernis der Verhältnismäßigkeit in einer demokratischen Gesellschaft aus, dass die Bekämpfung einfacher Kriminalität eine Rechtfertigung für eine generelle Verpflichtung zur Vorratsdatenspeicherung sein kann. Die erheblichen Gefahren, die von dieser Verpflichtung ausgingen, stünden nämlich außer Verhältnis zu den Vorteilen, die sie bei der Bekämpfung leichter Kriminalität verschaffen würden (Rz. 172).

Erforderlichkeit: Einschränkung des Rechts aus Schutz personenbezogener Daten aus das „absolut Notwendige“

Im Rahmen der Prüfung der Erforderlichkeit der generellen Verpflichtung zur Vorratsdatenspeicherung macht der Generalanwalt unter anderem auch allgemeingültige Ausführung dazu, wann seiner Ansicht nach die Voraussetzungen der absoluten Notwendigkeit erfüllt sind. Das Merkmal der absoluten Notwendigkeit wird von dem EuGH gerade im Bereich des Datenschutzrechts und des Eingriffs in das entsprechende Grundrecht sehr oft ausgelegt und geprüft. Zuletzt etwa auch in seinem Schrems-Urteil zu Safe Harbor bei der Frage, welches Schutzniveau für personenbezogene Daten in der europäischen Union hinsichtlich der Verarbeitung dieser Daten durch staatliche Behörden existiert.

Nach Auffassung des Generalanwalts geht eine Verpflichtung zur Vorratsdatenspeicherung nicht über das absolut wendige hinaus, sofern mit dieser Speicherung bestimmte Garantien einhergehen die den Zugang zu den Daten, die Dauer der Vorratsspeicherung und den Schutz und die Sicherheit der Daten betreffen (Rz. 193). Diese Differenzierung ist meines Erachtens zum Verständnis der Schlussanträge sehr wichtig. Der Generalanwalt leitet in der Folge seine Auffassung aus früheren Urteilen des EuGH ab, dass dieser nicht entschieden habe, dass eine mangelnde Differenzierung bei der Erhebung und Speicherung personenbezogener Daten bedeuten würde, dass die Verpflichtung zu dieser Speicherung als solche über das absolut notwendige hinausgehen (Rz. 199). Sie geht jedoch dann über das absolut wendige hinaus, wenn, quasi als Auffanglager Schale einer fehlenden Differenzierung bei der Erhebung und Speicherung, keine geeigneten Garantien hinsichtlich der Datensicherheit und des Zugriffs auf die Daten vorhanden sind.

Diesbezüglich verweist der Generalanwalt auch auf das Urteil des EuGH in Sachen Schrems, wo das Gericht in Rz. 93 diese Zweigliedrigkeit bei der Auslegung des Begriffs des „absolut Notwendigen“ noch einmal klar formulierte. Der Generalanwalt folgert, dass eine Verpflichtung zur Vorratsspeicherung über das absolut notwendige stets dann hinausgeht, wenn mit ihr keine Garantien hinsichtlich des Datenzugangs, der Dauer der Vorratsspeicherung sowie des Schutzes und der Sicherheit der Daten einhergehen (Rz. 205).

Interessant sind die diesbezüglichen Verstellung des Generalanwalts insbesondere hinsichtlich der Frage, inwieweit die neue Angemessenheitsentscheidung der Europäischen Kommission zum Privacy Shield ein angemessenes Schutzniveau hinsichtlich personenbezogener Daten, die in die USA übertragen werden, gewährleistet. Vor der offiziellen Verabschiedung des Privacy Shield wurde ja gerade auch über die Thematik der generellen Erhebung und Speicherung von personenbezogenen Daten durch US-Behörden einerseits und den Vorgaben der US-Behörden hinsichtlich des Zugangs und der Nutzung dieser Daten andererseits diskutiert. Man könnte sich also meines Erachtens durchaus die Frage stellen, inwieweit die durch die US-Regierung zugesicherten Garantien den Anforderungen jener Garantien genügen, die der Generalanwalt in diesem Verfahren formuliert.

Generalanwalt: Datenschutzvorschriften des deutschen Telemediengesetzes verstoßen gegen EU-Recht

Heute hat der Generalanwalt am Europäischen Gerichtshof (EuGH), Campos Sánchez-Bordona, seine Schlussanträge in dem Verfahren „Breyer“ (C-582/14) vorgelegt. In dem diesem Vorabentscheidungsersuchen des Bundesgerichtshofs zugrundeliegenden Rechtsstreit geht es, sehr vereinfacht formuliert, um zwei Fragen:

1. Sind dynamische IP-Adressen, die ein Webseitenbetreiber über Seitenbesucher erhebt und verarbeitet personenbezogene Daten i. S. d. europäischen Datenschutzrechts (konkret: Art. 2 lit. a Datenschutzrichtlinie 95/46/EG), wenn ein Dritter (hier der Internetzugangsanbieter über Wissen verfügt, um die IP-Adresse einer natürlichen Person zuzuordnen)?

2. Sind die Vorgaben der Vorschrift des § 15 Abs. 1 TMG, wonach Diensteanbieter (z.B. Webseitenbetreiber oder App-Anbieter) personenbezogene Daten eines Nutzers nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums zu ermöglichen und abzurechnen, mit Art. 7 lit. f der Datenschutzrichtlinie vereinbar?

Das Ergebnis des Generalanwalts. Zu 1: ja. Zu 2: nein.

Nachfolgende einige Anmerkungen zu den Schlussanträgen.
Auf die Frage, ob eine dynamische IP-Adresse ein personenbezogenes Datum ist, möchte ich nicht weiter eingehen. Der Streit über diese Frage wird seit Jahren geführt und es gibt meines Erachtens Argumente für und gegen eine Einordnung der Adressen als personenbezogenes Datum. Dem Grunde nach kommt es für das Ergebnis darauf an, ob man bei der Bestimmbarkeit einer natürlichen Person anhand eines Datums allein auf die verantwortliche Stelle, z.B. den Webseitenbetreiber und die ihm zur Verfügung stehen Mittel abstellt. Oder aber man legt eine weitergehende Auffassung zugrunde, wonach es für die Einordnung einer Information als personenbezogenes Datum nicht nur auf die Stelle ankommt, die dieses Datum gerade verarbeitet, sondern auch auf Zusatzwissen von Dritten, im vorliegenden Fall des Access-Providers, ankommt. Der Generalanwalt vertritt die Letztere Auffassung, zumindest soweit er das Wissen Dritter berücksichtigen möchte, an die sich die verantwortliche Stelle „vernünftigerweise“ wenden könnte, um den Personenbezug herzustellen. Der Generalanwalt nimmt hierbei eine durchaus streitbare Auslegung des Erwägungsgrundes 26 der Datenschutzrichtlinie vor. Dort wird von „einem Dritten“ gesprochen. Der Generalanwalt möchte dies jedoch einschränkend auf „bestimmte Dritte“, worunter der Internetzugangsanbieter fällt, auslegen. Hinweisen möchte ich auch noch auf Rz. 50 der Schlussanträge, in denen klargestellt wird, dass hier nicht die Frage behandelt wird, ob dynamische IP Adressen grundsätzlich als personenbezogene Daten einzustufen sind.
Weitaus gravierender für die deutsche Rechtslage und die gesetzlichen Vorgaben zum Umgang mit personenbezogenen Daten im Internet oder in Apps (dafür gelten die §§ 13 ff. TMG), dürften die Ausführungen des Generalanwalts zur zweiten Frage sein.

Nach den Vorgaben des deutschen § 12 Abs. 1 TMG dürfen Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Unterfallen personenbezogene Daten (als sog. Bestandsdaten, § 14 oder Nutzungsdaten, § 15) dem TMG, ist ihre Erhebung und Verwendung nur sehr eingeschränkt möglich, wenn keine Einwilligung des Betroffenen vorliegt. Außerhalb des Anwendungsbereichs des TMG ist das anders. So können personenbezogene Daten z.B. nach § 28 BDSG auch auf der Grundlage eines berechtigten Interesses der verantwortlichen Stelle oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeitet werden. Das entspricht auch den europäischen Vorgaben des Art. 7 der Datenschutzrichtlinie. Die §§ 12, 14 und 15 TMG schränken den Umgang mit personenbezogenen Daten also (soweit keine Einwilligung vorliegt) sehr stark ein.

In dem vorliegenden Verfahren ging es in der zweiten Frage darum, ob diese gesetzliche Beschränkung im TMG (hier ging es konkret um § 15 Abs. 1 und Abs. 4 TMG) und quasi der Ausschluss von gesetzlichen Verarbeitungsgrundlagen, die europarechtlich vorgegeben sind, zulässig ist. Vorliegend wollte der Webseitenbetreiber (ich meine, dass es sich hierbei um das BMJV handelte) personenbezogene Daten für den Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, verwenden. Ein solcher Verarbeitungszweck ist nach Auffassung des Generalanwalts auch grundsätzlich als ein berechtigtes Interesse anzusehen. Das Problem: § 15 Abs. 1 und Abs. 4 TMG erlauben die Verwendung der Daten für diesen Zweck dem Wortlaut nach wohl nicht. In jedem Fall aber nicht, wenn die Daten über den Nutzungsvorgang hinaus gespeichert werden sollen.

Diese Beschränkung der Verarbeitungsmöglichkeit und damit das gesetzliche Verbot einer Datenverarbeitung, die europarechtlich eigentlich nach Art. 7 lit. f Datenschutzrichtlinie zulässig sein kann, ist nach Ansicht des Generalanwalts nicht mit dem EU-Recht zu vereinbaren.

Die Argumentation des Generalanwalts lässt sich meines Erachtens auf alle Paragraphen des TMG übertragen, die eine Datenverarbeitung nur für ganz bestimmt Zwecke zulassen und vor allem das berechtigte Interesse des Diensteanbieters nicht berücksichtigen. Also auch die §§ 12 und 14 TMG.

Man darf gespannt die Entscheidung des EuGH in dieser Sache erwarten. Das Gericht ist an die Schlussanträge nicht gebunden, folgt diesen jedoch sehr häufig. Sollte der EuGH ebenfalls der Auffassung sein, dass § 15 Abs. 1 TMG nicht mit Art. 7 lit. f Datenschutzrichtlinie vereinbar ist, so dürfte die deutsche Vorschrift nur noch europarechtskonform angewendet werden, mit der Folge, dass Nutzungsdaten nach dem TMG auch durch Diensteanbeiter (hierbei handelt es sich um die bekannten verantwortlichen Stellen i. S. d. BDSG) verarbeitet werden dürfen, wenn diese zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Europäischer Gerichtshof verhandelt über Vorratsdatenspeicherung

Heute findet vor dem europäischen Gerichtshof (EuGH) in Luxemburg die mündliche Verhandlung in den verbundenen Rechtssachen C-203/15 und C-698/15 statt (Link zum Sitzungskalender). In den Verfahren geht es um die Frage der Konformität nationaler Gesetze mit EU-Recht, die Telekommunikationsanbieter zur Speicherung von Verkehrsdaten verpflichten. Im Jahr 2014 hat der EuGH die europäische Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt (Urt. v. 8. April 2014, C-293/12).

In den nun verhandelten Verfahren muss ich der EuGH mit nationalen Gesetzen befassen, die eine Speicherung von Verkehrsdaten vorschreiben.

In einem schwedischen Vorabentscheidungsersuchen (Tele2 Sverige, C-203/15) stellt das vorlegende Gericht die Frage, ob

eine generelle Verpflichtung zur Vorratsspeicherung von Verkehrsdaten, die sich (wie [im Vorabentscheidungsersuchen] beschrieben) auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung von Straftaten vorzusehen, mit Art. 15 Abs. 1 der Richtlinie 2002/58 unter Berücksichtigung der Art. 7, 8 und 52 Abs. 1 der Charta vereinbar

ist.

Falls der EuGH diese erste Frage verneinen sollte, möchte das vorlegende Gericht wissen, ob die Vorratsspeicherung dennoch zulässig sein kann, wenn

a) der Zugang der nationalen Behörden zu den gespeicherten Daten wie [im Vorabentscheidungsersuchen] beschrieben festgelegt ist und
b) die Sicherheitsanforderungen wie [im Vorabentscheidungsersuchen] beschrieben geregelt sind und
c) sämtliche relevanten Daten wie [im Vorabentscheidungsersuchen] beschrieben für einen Zeitraum von sechs Monaten ab dem Tag, an dem die Kommunikation beendet wird, gespeichert und anschließend gelöscht werden müssen?

Verbunden mit diesem Verfahren wird zugleich ein Vorabentscheidungsersuchen aus England behandelt (Davis u.a., C-698/15), in dem es ebenfalls um die Frage der Konformität nationaler Regelungen zur Vorratsdatenspeicherung geht. Hier stellt das vorlegende Gericht unter anderem die Frage, ob das Urteil des EuGH in der Rechtssache C-293/12

verbindliche, für die nationale Regelung eines Mitgliedstaats über den Zugang zu gemäß den nationalen Rechtsvorschriften auf Vorrat gespeicherten Daten geltende Voraussetzungen für die Vereinbarkeit mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) fest

legt.

Heute wird zunächst einmal nur verhandelt. Das bedeutet, dass die verschiedenen Beteiligten ihre Positionen darlegen können. Der Gerichtshof kann im Rahmen der mündlichen Verhandlung aber auch Fragen stellen, aus denen sich bereits oft eine Tendenz für ein späteres Urteil abzeichnet.

Gerade das Vorabentscheidungsersuchen aus Schweden ist insbesondere auch für die kürzlich in Deutschland (wieder) beschlossene Vorratsdatenspeicherung relevant. Denn der deutsche Gesetzgeber geht für das „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (pdf) unter anderem davon aus, dass der Anwendungsbereich des Art. 15 Abs. 1 der Richtlinie 2002/58 eröffnet ist und nationale Regelungen zur Vorratsdatenspeicherung sich an den Vorgaben der Charta der Grundrechte der Europäischen Union messen lassen müssen.

Verbandsklagerecht bei Datenschutzverstößen – Verfassungsrechtliche Bedenken

In der aktuellen Ausgabe der Zeitschrift WRP haben der Kollege Dr. Jaschinski und ich einen Fachbeitrag zu dem „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ veröffentlicht. Der Beitrag ist auf der Webseite der WRP im Volltext abrufbar (auch als PDF).

In dem Beitrag geben wir einen Überblick zu den Neuerungen des Gesetzes, natürlich mit einem besonderen Schwerpunkt auf der Verbandsklagebefugnis bei Datenschutzrechtsverletzungen (§ 2 Abs. 2 S. 1 Nr. 11 UKlaG). Verfassungsrechtliche Bedenken haben wir vor allem bei der Beteiligung der Datenschutzaufsichtsbehörden in zivilrechtlichen Verfahren vor den Landgerichten. Viel Freude beim Lesen.

Landgericht Hamburg untersagt fehlerhaften Einsatz von Google Analytics

Google Analytics ist eines der beliebtesten Analysetools für Webseitenbetreiber überhaupt. Bei der Einbindung dieses Dienstes auf der eigenen Webseite sind jedoch insbesondere datenschutzrechtliche Anforderungen (konkret vor allem jene des Telemediengesetzes und der Auftragsdatenverarbeitung) zu beachten.  Sollten diese Voraussetzung nicht erfüllt werden, besteht unter anderem die Gefahr, von Wettbewerbern abgemahnt und auf Unterlassung und Ersatz der Abmahn- und Gerichtskosten in Anspruch genommen zu werden.

Genauso hat in einem aktuellen Fall das Landgericht Hamburg per Beschluss im Wege der einstweiligen Verfügung entschieden (Az. 312 O 127/16, PDF). In dem Fall wurde es einem Webseitenbetreiber untersagt, auf seinem Internetangebot den Analysedienst Google Analytics einzusetzen, ohne die Besucher des Internetangebots zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Den Streitwert hat das Gericht auf 20.000 € festgesetzt.

Schon im Jahr 2011 haben die deutschen Datenschutzbehörden darüber informiert, wie aus ihrer Sicht ein zulässiger Einsatz des Analysetools auszusehen hat (Informationen der Datenschutzbehörde aus Hamburg):

  • Webseitenbetreiber müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Diesen Vertrag erhalten Sie unter „http://www.google.com/analytics/terms/de.pdf“.
  • Webseitenbetreiber müssen die Nutzer Ihrer Website in Ihrer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Hierbei sollte möglichst auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden.
  • Webseitenbetreiber müssen durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen.

Im konkreten Fall stellte der Webseitenbetreiber überhaupt keine Datenschutzerklärung und damit auch keine Informationen zum Einsatz von Google Analytics zur Verfügung. Damit lag ein Verstoß gegen die Informationspflicht des § 13 Abs. 1 S. 1 TMG vor. Bei dieser Vorschrift handelt es sich nach Auffassung vieler Gerichte (u.a. auch des OLG Hamburg, Urt. v. 27. Juni 2013 – Az. 3 U 26/12) um eine sogenannte Marktverhaltensregelung im Sinne des § 3a UWG. Die Verletzung einer solchen Regelung kann durch Wettbewerber abgemahnt und die Abgabe einer Unterlassungserklärung gefordert werden. Wenn eine solche Erklärung nicht rechtzeitig abgegeben wird, kann der Unterlassungsanspruch im Wege der einstweiligen Verfügung vor Gericht durchgesetzt werden, wie der oben verlinkte Beschluss einmal mehr zeigt.

Für den Abgemahnten bzw. im Fall des Erlasses einer einstweiligen Verfügung, den Antragsgegner, können am Ende Kosten in vierstelliger Höhe entstehen, die er dem Antragsteller zu ersetzen hat. Hinzu kommt, dass spätestens mit Zustellung der einstweiligen Verfügung der weitere Einsatz von Google Analytics nur noch möglich ist, wenn sofort die oben geschilderten Anforderungen umgesetzt werden. Andernfalls droht ein empfindliches Ordnungsgeld. Jeder Webseitenbetreiber, der Google Analytics nutzt, sollte daher darauf achten, in jedem Fall die oben aufgeführten Anforderungen umzusetzen. Man mag vielleicht meinen, dass es eher unwahrscheinlich ist, in das Visier einer Datenschutzbehörde zu gelangen. Die Gefahr, von einem Wettbewerber abgemahnt zu werden, ist jedenfalls durchaus realistisch.

Disclaimer: Die Kanzlei JBB Rechtsanwälte war an dem Verfahren vor dem Landgericht Hamburg als Vertreter der Antragstellerseite beteiligt.