Europäische Datenschützer: WhatsApp und Co. sollen wie TK-Anbieter reguliert werden

Die Europäische Kommission überarbeitet derzeit die geltenden Regeln zum Schutz der Privatsphäre und der Vertraulichkeit im Bereich der elektronischen Kommunikation. Die für diese Thematik einschlägige Richtlinie 2002/58/EG (konsolidiert durch Richtlinie 2009/136/EG, pdf; sog. ePrivacy Richtlinie) soll reformiert werden.

In einer neuen Stellungnahme (Stellungnahme 3/2016, pdf) haben sich nun auch die Vertreter der Datenschutzbehörden der verschiedenen Mitgliedstaaten (die Art. 29 Datenschutzgruppe) zu diesen Reformplänen geäußert und ihre Wünsche und Vorschläge für ein zukünftiges Regelwerk eingebracht.

Grundsätzlich unterstützen die Datenschützer das Ansinnen der europäischen Kommission, spezifische rechtliche Vorgaben für den Schutz der Privatsphäre und der Vertraulichkeit im Rahmen der elektronischen Kommunikation zu kreieren. Für den Schutz personenbezogener Daten gilt ab dem vom 20. Mai 2018 die Datenschutz-Grundverordnung (DSGVO). Die Vertraulichkeit der Kommunikation sollte jedoch durch ein spezielles rechtliches Instrument geschützt sein.

Nach Auffassung der Art. 29 Datenschutzgruppe werden die Regelungen der DSGVO nicht gelten, soweit die ePrivacy Richtlinie spezifische Pflichten mit demselben Ziel (wie jene in der DSGVO) vorsieht (Art. 95 DSGVO). In allen anderen Fällen soll die DSGVO anwendbar sein. Da jedoch, so die Datenschützer, Verkehrs-, Kommunikations- und Standortdaten in den meisten Fällen personenbezogene Daten darstellen, wird es in der Zukunft in einigen Fällen zu Überschneidungen der beiden gesetzlichen Instrumente kommen.

Der Wunsch der Datenschützer ist es, dass die Nachfolgeregelungen zur ePrivacy Richtlinie zusätzliche Vorgaben zum Schutz der Sicherheit der elektronischen Kommunikation vorsehen. Diese Schutzpflichten sollen insbesondere auch nicht davon abhängig sein, ob personenbezogene Daten verarbeitet werden.

Die Art. 29 Datenschutzgruppe fordert, dass die Nachfolgeregelungen zur ePrivacy Richtlinie den Wesensgehalt der aktuellen Regelungen beibehalten, diese jedoch effektiver und für die Praxis leichter anwendbar ausgestaltet werden sollen, insbesondere durch die Ausweitung des Anwendungsbereichs der Regelungen zur Geolokalisierung und den Verkehrsdaten.

Viele der aktuell geltenden Vorgaben der ePrivacy Richtlinie sind nicht auf Anbieter von Internettelefonie- , E-Mail- oder Kurznachrichtendiensten anwendbar. Nach Auffassung der Datenschützer muss die Nachfolgeregelung zur ePrivacy Richtlinie die Privatsphäre und Vertraulichkeit bei der Nutzung solcher Dienste, die sich für europäische Anwender als funktional gleichwertig zu den klassischen elektronischen Kommunikationsdiensten darstellen, schützen. Die Art. 29 Datenschutzgruppe Events in ihrer Stellungnahme beispielhaft Dienste wie WhatsApp, Google GMail, Skype and Facebook Messenger (sog. OTT-Dienste). Insbesondere müsse ein solcher Schutz für private Nachrichten zwischen einzelnen Nutzern oder auch Gruppen geschaffen werden. Die gesetzliche Verpflichtung zur Sicherstellung der Vertraulichkeit der Kommunikation muss nach Auffassung der Datenschützer ebenso für diese Diensteanbieter gelten.

Als problematisch sehen die europäischen Datenschützer die derzeit teils erheblich divergierende Auslegung und Anwendung der Regelungen der ePrivacy Richtlinie in den europäischen Mitgliedstaaten an. Welches gesetzgeberische Instrument die europäische Kommission für die Nachfolgeregelungen wählen soll, lassen die Datenschützer im Ergebnis zwar offen. Sie fordern jedoch, dass die neuen Regelungen eindeutig und klar sein müssen. Sollte eine Richtlinie gewählt werden, so dürften deren Regelungen nach Ansicht der Datenschützer jedoch nur wenig Interpretationsspielraum für die Mitgliedstaaten ermöglichen. Der europäische Datenschutzbeauftragte hat sich kürzlich in einer eigenen Stellungnahme (pdf) für das Instrument der Verordnung stark gemacht.

Auch fordert die Art. 29 Datenschutzgruppe, dass die Verarbeitung personenbezogener Daten im Rahmen des Angebots von öffentlich zugänglichen elektronischen Kommunikationsdiensten oder auch öffentlich zugänglichen privaten elektronischen Kommunikationsnetzen den Nachfolgeregelungen der ePrivacy Richtlinie unterfallen soll. Die Datenschützer beziehen sich hier auf das Angebot von WLANs in der Öffentlichkeit, etwa in Hotels, Bars oder Geschäften. Interessanterweise wird auch die Schaffung eines Hotspots durch eine Privatperson in die Überlegungen mit einbezogen.

Hinsichtlich des bekannten Art. 5 Abs. 3 (sog. Cookie-Regelung) fordern die Datenschützer, dass die geltenden Regelungen mit dem Ziel überarbeitet werden, die Vertraulichkeit der von Nutzern eingesetzten Geräte besser zu schützen. Die zukünftigen Vorgaben zur Erhebung bzw. zum Zugriff auf Informationen in dem Gerät eines Nutzers sollten weder von der Art des eingesetzten Gerätes noch von der Technologie des Unternehmens zum Zugriff auf die Informationen abhängen. Zusätzlich fordern die Datenschützer jedoch auch, dass die Europäische Kommission über weitere Ausnahmeregelungen für das grundsätzliche Erfordernis einer Einwilligung des Nutzers nachdenkt. Insbesondere soll es dann keine Einwilligung des Nutzers bedürfen, wenn die Verarbeitung von Informationen keine oder nur wenig Einfluss auf die Rechte der Nutzer und insbesondere auf die Vertraulichkeit der Kommunikation und ihre Privatsphäre hat. Beispielhaft nennen die Datenschützer hier das Thema „Sicherheit“. Wenn eine Verarbeitung von Informationen allein dafür erforderlich ist, um proaktiv oder auch defensiv ausgerichtet die technische Sicherheit eines Netzwerkes oder eines Dienstes zu gewährleisten, soll eine Einwilligung nicht erforderlich sein. Ein anders Beispiel sehen die Datenschützer im Bereich „Anonymisierung“. Wenn Informationen direkt nach der Erhebung unwiederbringlich anonymisiert werden, sei es auf dem Gerät oder an den Endpunkten des Netzwerkes, sollte eine Einwilligung nicht erforderlich sein. Diese Ausnahme dürfte jedoch zum Beispiel dann nicht gelten, wenn der Anbieter weiterhin Zugang zur den Quelldaten hat und damit die Möglichkeit einer De-Anonymisierung besteht.

Generalanwalt zur Vorratsdatenspeicherung: Ja, aber…

Heute hat der Generalanwalt am europäischen Gerichtshof (EuGH), Saugmandsgaard Øe, seine Schlussanträge in den verbundenen Rechtssachen C-203/15 und C-698/15 vorgelegt. Es geht um die, gerade auch aus deutscher Sicht, wichtige Frage, inwiefern nationale Regelungen, die eine Speicherung von Kommunikationsdaten auf Vorrat vorsehen, mit europäischem Recht vereinbar sind.

Die Schlussanträge des Generalanwalts sind sehr ausführlich. Ich möchte daher nachfolgend nur einige Schlaglichter auf aus meiner Sicht besonders interessante Aspekte werfen.

Deutsche Regierung: Pflicht zur Vorratsdatenspeicherung nach EU-Recht zu beurteilen

Im Rahmen des Gesetzgebungsverfahrens zur Anpassung des Telekommunikationsgesetzes (TKG) in Deutschland und zur Einführung der Vorratsdatenspeicherung wurde teilweise vertreten, dass die neuen nationalen Regelungen sich nicht an europäische Standards messen lassen müssten, damit den neuen Regelungen im TKG kein europäisches Recht durchgeführt wird. Die deutsche Regierung hat bereits im Gesetzgebungsentwurf darauf hingewiesen, dass ihre Ansicht nach sehr wohl europäische Vorgaben zu beachten sind. Diese Ansicht bekräftigt die Bundesregierung noch einmal in dem Verfahren vor dem EuGH (Rz. 91). Die generelle Verpflichtung zur Vorratsspeicherung stellt eine Durchführung des Art. 15 Abs. 1 der Richtlinie 2002/58 dar. Auch die neuen Regelungen im TKG müssen also die Vorgaben europäischen Rechts beachten und aus diesem Grunde ist auch der Ausgang des hier vorliegenden Verfahrens für die Vorratsdatenspeicherung in Deutschland von besonderem Interesse.

Trennung zwischen Speicherung und Zugang

Der Generalanwalt trennt in seinen Schlussanträgen grundsätzlich zwischen der Verpflichtung und technischen Phase der Speicherung von Verkehrsdaten einerseits und dem späteren Zugang und technischen Zugriff auf diese gesammelten Verkehrsdaten durch nationale Behörden andererseits. Die Pflicht zur Speicherung fällt nicht unter die Ausnahmeregelung des Art. 1 Abs. 3 der Richtlinie 2002/58 (für Tätigkeiten im Rahmen der öffentlichen Sicherheit, der Landesverteidigung, der Sicherheit des Staates und der Tätigkeit des Staates im strafrechtlichen Bereich). Denn die Pflicht zur Speicherung trifft private Wirtschaftsteilnehmer im Rahmen ihrer privaten Tätigkeit (Rz. 94). Die in Art. 15 Abs. 1 der Richtlinie 2002/58 erlaube gerade die Einführung einer generellen Verpflichtung zur Vorratsdatenspeicherung. Die Inanspruchnahme dieser Befugnis durch den nationalen Gesetzgeber ist jedoch von der Einhaltung strenger Voraussetzungen abhängig (Rz. 116).

Der Generalanwalt stellt auch klar, dass seiner Ansicht nach die nationalen Bestimmungen die den Zugang zu den auf Vorrat gespeicherten Daten regeln nicht in den Anwendungsbereich der europäischen Charta der Grundrechte fallen (Rz. 123). Jedoch könne man seiner Ansicht nach die Problematik der Vorratsspeicherung und diejenige des nachgelagerten Zugangs nicht vollständig voneinander getrennt beobachten. Denn die konkrete Ausgestaltung des Zugangs ist von entscheidender Bedeutung für die Beurteilung der Frage, ob die Bestimmungen zur Einführung der Vorratsdatenspeicherung (also die vorgelagerte 1. Stufe) mit der Charta der Grundrechte der Europäischen Union und den Vorgaben der Richtlinie 2002/58 vereinbar sind (Rz. 125).

Zweifacher Eingriff: 6 kumulative Voraussetzungen zu erfüllen

Nach Auffassung des Generalanwalts stellt die generelle Verpflichtung zur Vorratsdatenspeicherung sowohl ein Eingriff in die in der Richtlinie 2002/58 verankerten Rechte als auch in die in den Art. 7 und 8 der Charta der Grundrechte verankerten Grundrechte dar (Rz. 127). Für eine Rechtfertigung dieser Eingriffe müssen sowohl die Vorgaben von Art. 15 Abs. 1 der Richtlinie 2002/58 und von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union, ausgelegt im Lichte des Urteils des EuGH in Sachen Digital Rights Ireland, erfüllt sein. Nach Auffassung des Generalanwalts müssen folgende Voraussetzungen kumulativ erfüllt werden:

  • Die Vorratsspeicherungspflicht muss eine gesetzliche Grundlage haben;
  • sie muss den Wesensgehalt der in der Charta verankerten Rechte wahren;
  • sie muss einer dem Gemeinwohl dienenden Zielsetzung entsprechen;
  • sie muss zur Verfolgung dieses Ziels geeignet sein;
  • sie muss für die Verfolgung des genannten Ziels erforderlich sein, und
  • sie muss in einer demokratischen Gesellschaft in angemessenem Verhältnis zur Verfolgung dieses Ziels stehen.

Einfache Kriminalität rechtfertigt keine generelle Verpflichtung zur Vorratsdatenspeicherung

teilweise wurde in dem Verfahren vorgebracht, dass jede Zielsetzung, die in Art. 15 Abs. 3 der Richtlinie 2002/58 oder auch in Art. 13 Abs. 1 der geltenden Datenschutzrichtlinie (95/46/EG) genannt sei eine generelle Verpflichtung zur Vorratsdatenspeicherung rechtfertigen könne auch bei Straftaten im Rahmen „einfacher“ Kriminalität oder im Kontext nicht strafrechtlicher Verfahren wäre die generelle Verpflichtung zur Vorratsdatenspeicherung gerechtfertigt (Rz. 169). Diese Auffassung teilt der Generalanwalt nicht. Seiner Ansicht nach schließt es das Erfordernis der Verhältnismäßigkeit in einer demokratischen Gesellschaft aus, dass die Bekämpfung einfacher Kriminalität eine Rechtfertigung für eine generelle Verpflichtung zur Vorratsdatenspeicherung sein kann. Die erheblichen Gefahren, die von dieser Verpflichtung ausgingen, stünden nämlich außer Verhältnis zu den Vorteilen, die sie bei der Bekämpfung leichter Kriminalität verschaffen würden (Rz. 172).

Erforderlichkeit: Einschränkung des Rechts aus Schutz personenbezogener Daten aus das „absolut Notwendige“

Im Rahmen der Prüfung der Erforderlichkeit der generellen Verpflichtung zur Vorratsdatenspeicherung macht der Generalanwalt unter anderem auch allgemeingültige Ausführung dazu, wann seiner Ansicht nach die Voraussetzungen der absoluten Notwendigkeit erfüllt sind. Das Merkmal der absoluten Notwendigkeit wird von dem EuGH gerade im Bereich des Datenschutzrechts und des Eingriffs in das entsprechende Grundrecht sehr oft ausgelegt und geprüft. Zuletzt etwa auch in seinem Schrems-Urteil zu Safe Harbor bei der Frage, welches Schutzniveau für personenbezogene Daten in der europäischen Union hinsichtlich der Verarbeitung dieser Daten durch staatliche Behörden existiert.

Nach Auffassung des Generalanwalts geht eine Verpflichtung zur Vorratsdatenspeicherung nicht über das absolut wendige hinaus, sofern mit dieser Speicherung bestimmte Garantien einhergehen die den Zugang zu den Daten, die Dauer der Vorratsspeicherung und den Schutz und die Sicherheit der Daten betreffen (Rz. 193). Diese Differenzierung ist meines Erachtens zum Verständnis der Schlussanträge sehr wichtig. Der Generalanwalt leitet in der Folge seine Auffassung aus früheren Urteilen des EuGH ab, dass dieser nicht entschieden habe, dass eine mangelnde Differenzierung bei der Erhebung und Speicherung personenbezogener Daten bedeuten würde, dass die Verpflichtung zu dieser Speicherung als solche über das absolut notwendige hinausgehen (Rz. 199). Sie geht jedoch dann über das absolut wendige hinaus, wenn, quasi als Auffanglager Schale einer fehlenden Differenzierung bei der Erhebung und Speicherung, keine geeigneten Garantien hinsichtlich der Datensicherheit und des Zugriffs auf die Daten vorhanden sind.

Diesbezüglich verweist der Generalanwalt auch auf das Urteil des EuGH in Sachen Schrems, wo das Gericht in Rz. 93 diese Zweigliedrigkeit bei der Auslegung des Begriffs des „absolut Notwendigen“ noch einmal klar formulierte. Der Generalanwalt folgert, dass eine Verpflichtung zur Vorratsspeicherung über das absolut notwendige stets dann hinausgeht, wenn mit ihr keine Garantien hinsichtlich des Datenzugangs, der Dauer der Vorratsspeicherung sowie des Schutzes und der Sicherheit der Daten einhergehen (Rz. 205).

Interessant sind die diesbezüglichen Verstellung des Generalanwalts insbesondere hinsichtlich der Frage, inwieweit die neue Angemessenheitsentscheidung der Europäischen Kommission zum Privacy Shield ein angemessenes Schutzniveau hinsichtlich personenbezogener Daten, die in die USA übertragen werden, gewährleistet. Vor der offiziellen Verabschiedung des Privacy Shield wurde ja gerade auch über die Thematik der generellen Erhebung und Speicherung von personenbezogenen Daten durch US-Behörden einerseits und den Vorgaben der US-Behörden hinsichtlich des Zugangs und der Nutzung dieser Daten andererseits diskutiert. Man könnte sich also meines Erachtens durchaus die Frage stellen, inwieweit die durch die US-Regierung zugesicherten Garantien den Anforderungen jener Garantien genügen, die der Generalanwalt in diesem Verfahren formuliert.

Generalanwalt: Datenschutzvorschriften des deutschen Telemediengesetzes verstoßen gegen EU-Recht

Heute hat der Generalanwalt am Europäischen Gerichtshof (EuGH), Campos Sánchez-Bordona, seine Schlussanträge in dem Verfahren „Breyer“ (C-582/14) vorgelegt. In dem diesem Vorabentscheidungsersuchen des Bundesgerichtshofs zugrundeliegenden Rechtsstreit geht es, sehr vereinfacht formuliert, um zwei Fragen:

1. Sind dynamische IP-Adressen, die ein Webseitenbetreiber über Seitenbesucher erhebt und verarbeitet personenbezogene Daten i. S. d. europäischen Datenschutzrechts (konkret: Art. 2 lit. a Datenschutzrichtlinie 95/46/EG), wenn ein Dritter (hier der Internetzugangsanbieter über Wissen verfügt, um die IP-Adresse einer natürlichen Person zuzuordnen)?

2. Sind die Vorgaben der Vorschrift des § 15 Abs. 1 TMG, wonach Diensteanbieter (z.B. Webseitenbetreiber oder App-Anbieter) personenbezogene Daten eines Nutzers nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums zu ermöglichen und abzurechnen, mit Art. 7 lit. f der Datenschutzrichtlinie vereinbar?

Das Ergebnis des Generalanwalts. Zu 1: ja. Zu 2: nein.

Nachfolgende einige Anmerkungen zu den Schlussanträgen.
Auf die Frage, ob eine dynamische IP-Adresse ein personenbezogenes Datum ist, möchte ich nicht weiter eingehen. Der Streit über diese Frage wird seit Jahren geführt und es gibt meines Erachtens Argumente für und gegen eine Einordnung der Adressen als personenbezogenes Datum. Dem Grunde nach kommt es für das Ergebnis darauf an, ob man bei der Bestimmbarkeit einer natürlichen Person anhand eines Datums allein auf die verantwortliche Stelle, z.B. den Webseitenbetreiber und die ihm zur Verfügung stehen Mittel abstellt. Oder aber man legt eine weitergehende Auffassung zugrunde, wonach es für die Einordnung einer Information als personenbezogenes Datum nicht nur auf die Stelle ankommt, die dieses Datum gerade verarbeitet, sondern auch auf Zusatzwissen von Dritten, im vorliegenden Fall des Access-Providers, ankommt. Der Generalanwalt vertritt die Letztere Auffassung, zumindest soweit er das Wissen Dritter berücksichtigen möchte, an die sich die verantwortliche Stelle „vernünftigerweise“ wenden könnte, um den Personenbezug herzustellen. Der Generalanwalt nimmt hierbei eine durchaus streitbare Auslegung des Erwägungsgrundes 26 der Datenschutzrichtlinie vor. Dort wird von „einem Dritten“ gesprochen. Der Generalanwalt möchte dies jedoch einschränkend auf „bestimmte Dritte“, worunter der Internetzugangsanbieter fällt, auslegen. Hinweisen möchte ich auch noch auf Rz. 50 der Schlussanträge, in denen klargestellt wird, dass hier nicht die Frage behandelt wird, ob dynamische IP Adressen grundsätzlich als personenbezogene Daten einzustufen sind.
Weitaus gravierender für die deutsche Rechtslage und die gesetzlichen Vorgaben zum Umgang mit personenbezogenen Daten im Internet oder in Apps (dafür gelten die §§ 13 ff. TMG), dürften die Ausführungen des Generalanwalts zur zweiten Frage sein.

Nach den Vorgaben des deutschen § 12 Abs. 1 TMG dürfen Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Unterfallen personenbezogene Daten (als sog. Bestandsdaten, § 14 oder Nutzungsdaten, § 15) dem TMG, ist ihre Erhebung und Verwendung nur sehr eingeschränkt möglich, wenn keine Einwilligung des Betroffenen vorliegt. Außerhalb des Anwendungsbereichs des TMG ist das anders. So können personenbezogene Daten z.B. nach § 28 BDSG auch auf der Grundlage eines berechtigten Interesses der verantwortlichen Stelle oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeitet werden. Das entspricht auch den europäischen Vorgaben des Art. 7 der Datenschutzrichtlinie. Die §§ 12, 14 und 15 TMG schränken den Umgang mit personenbezogenen Daten also (soweit keine Einwilligung vorliegt) sehr stark ein.

In dem vorliegenden Verfahren ging es in der zweiten Frage darum, ob diese gesetzliche Beschränkung im TMG (hier ging es konkret um § 15 Abs. 1 und Abs. 4 TMG) und quasi der Ausschluss von gesetzlichen Verarbeitungsgrundlagen, die europarechtlich vorgegeben sind, zulässig ist. Vorliegend wollte der Webseitenbetreiber (ich meine, dass es sich hierbei um das BMJV handelte) personenbezogene Daten für den Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, verwenden. Ein solcher Verarbeitungszweck ist nach Auffassung des Generalanwalts auch grundsätzlich als ein berechtigtes Interesse anzusehen. Das Problem: § 15 Abs. 1 und Abs. 4 TMG erlauben die Verwendung der Daten für diesen Zweck dem Wortlaut nach wohl nicht. In jedem Fall aber nicht, wenn die Daten über den Nutzungsvorgang hinaus gespeichert werden sollen.

Diese Beschränkung der Verarbeitungsmöglichkeit und damit das gesetzliche Verbot einer Datenverarbeitung, die europarechtlich eigentlich nach Art. 7 lit. f Datenschutzrichtlinie zulässig sein kann, ist nach Ansicht des Generalanwalts nicht mit dem EU-Recht zu vereinbaren.

Die Argumentation des Generalanwalts lässt sich meines Erachtens auf alle Paragraphen des TMG übertragen, die eine Datenverarbeitung nur für ganz bestimmt Zwecke zulassen und vor allem das berechtigte Interesse des Diensteanbieters nicht berücksichtigen. Also auch die §§ 12 und 14 TMG.

Man darf gespannt die Entscheidung des EuGH in dieser Sache erwarten. Das Gericht ist an die Schlussanträge nicht gebunden, folgt diesen jedoch sehr häufig. Sollte der EuGH ebenfalls der Auffassung sein, dass § 15 Abs. 1 TMG nicht mit Art. 7 lit. f Datenschutzrichtlinie vereinbar ist, so dürfte die deutsche Vorschrift nur noch europarechtskonform angewendet werden, mit der Folge, dass Nutzungsdaten nach dem TMG auch durch Diensteanbeiter (hierbei handelt es sich um die bekannten verantwortlichen Stellen i. S. d. BDSG) verarbeitet werden dürfen, wenn diese zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Europäischer Gerichtshof verhandelt über Vorratsdatenspeicherung

Heute findet vor dem europäischen Gerichtshof (EuGH) in Luxemburg die mündliche Verhandlung in den verbundenen Rechtssachen C-203/15 und C-698/15 statt (Link zum Sitzungskalender). In den Verfahren geht es um die Frage der Konformität nationaler Gesetze mit EU-Recht, die Telekommunikationsanbieter zur Speicherung von Verkehrsdaten verpflichten. Im Jahr 2014 hat der EuGH die europäische Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt (Urt. v. 8. April 2014, C-293/12).

In den nun verhandelten Verfahren muss ich der EuGH mit nationalen Gesetzen befassen, die eine Speicherung von Verkehrsdaten vorschreiben.

In einem schwedischen Vorabentscheidungsersuchen (Tele2 Sverige, C-203/15) stellt das vorlegende Gericht die Frage, ob

eine generelle Verpflichtung zur Vorratsspeicherung von Verkehrsdaten, die sich (wie [im Vorabentscheidungsersuchen] beschrieben) auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung von Straftaten vorzusehen, mit Art. 15 Abs. 1 der Richtlinie 2002/58 unter Berücksichtigung der Art. 7, 8 und 52 Abs. 1 der Charta vereinbar

ist.

Falls der EuGH diese erste Frage verneinen sollte, möchte das vorlegende Gericht wissen, ob die Vorratsspeicherung dennoch zulässig sein kann, wenn

a) der Zugang der nationalen Behörden zu den gespeicherten Daten wie [im Vorabentscheidungsersuchen] beschrieben festgelegt ist und
b) die Sicherheitsanforderungen wie [im Vorabentscheidungsersuchen] beschrieben geregelt sind und
c) sämtliche relevanten Daten wie [im Vorabentscheidungsersuchen] beschrieben für einen Zeitraum von sechs Monaten ab dem Tag, an dem die Kommunikation beendet wird, gespeichert und anschließend gelöscht werden müssen?

Verbunden mit diesem Verfahren wird zugleich ein Vorabentscheidungsersuchen aus England behandelt (Davis u.a., C-698/15), in dem es ebenfalls um die Frage der Konformität nationaler Regelungen zur Vorratsdatenspeicherung geht. Hier stellt das vorlegende Gericht unter anderem die Frage, ob das Urteil des EuGH in der Rechtssache C-293/12

verbindliche, für die nationale Regelung eines Mitgliedstaats über den Zugang zu gemäß den nationalen Rechtsvorschriften auf Vorrat gespeicherten Daten geltende Voraussetzungen für die Vereinbarkeit mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) fest

legt.

Heute wird zunächst einmal nur verhandelt. Das bedeutet, dass die verschiedenen Beteiligten ihre Positionen darlegen können. Der Gerichtshof kann im Rahmen der mündlichen Verhandlung aber auch Fragen stellen, aus denen sich bereits oft eine Tendenz für ein späteres Urteil abzeichnet.

Gerade das Vorabentscheidungsersuchen aus Schweden ist insbesondere auch für die kürzlich in Deutschland (wieder) beschlossene Vorratsdatenspeicherung relevant. Denn der deutsche Gesetzgeber geht für das „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (pdf) unter anderem davon aus, dass der Anwendungsbereich des Art. 15 Abs. 1 der Richtlinie 2002/58 eröffnet ist und nationale Regelungen zur Vorratsdatenspeicherung sich an den Vorgaben der Charta der Grundrechte der Europäischen Union messen lassen müssen.

Verbandsklagerecht bei Datenschutzverstößen – Verfassungsrechtliche Bedenken

In der aktuellen Ausgabe der Zeitschrift WRP haben der Kollege Dr. Jaschinski und ich einen Fachbeitrag zu dem „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ veröffentlicht. Der Beitrag ist auf der Webseite der WRP im Volltext abrufbar (auch als PDF).

In dem Beitrag geben wir einen Überblick zu den Neuerungen des Gesetzes, natürlich mit einem besonderen Schwerpunkt auf der Verbandsklagebefugnis bei Datenschutzrechtsverletzungen (§ 2 Abs. 2 S. 1 Nr. 11 UKlaG). Verfassungsrechtliche Bedenken haben wir vor allem bei der Beteiligung der Datenschutzaufsichtsbehörden in zivilrechtlichen Verfahren vor den Landgerichten. Viel Freude beim Lesen.

Landgericht Hamburg untersagt fehlerhaften Einsatz von Google Analytics

Google Analytics ist eines der beliebtesten Analysetools für Webseitenbetreiber überhaupt. Bei der Einbindung dieses Dienstes auf der eigenen Webseite sind jedoch insbesondere datenschutzrechtliche Anforderungen (konkret vor allem jene des Telemediengesetzes und der Auftragsdatenverarbeitung) zu beachten.  Sollten diese Voraussetzung nicht erfüllt werden, besteht unter anderem die Gefahr, von Wettbewerbern abgemahnt und auf Unterlassung und Ersatz der Abmahn- und Gerichtskosten in Anspruch genommen zu werden.

Genauso hat in einem aktuellen Fall das Landgericht Hamburg per Beschluss im Wege der einstweiligen Verfügung entschieden (Az. 312 O 127/16, PDF). In dem Fall wurde es einem Webseitenbetreiber untersagt, auf seinem Internetangebot den Analysedienst Google Analytics einzusetzen, ohne die Besucher des Internetangebots zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Den Streitwert hat das Gericht auf 20.000 € festgesetzt.

Schon im Jahr 2011 haben die deutschen Datenschutzbehörden darüber informiert, wie aus ihrer Sicht ein zulässiger Einsatz des Analysetools auszusehen hat (Informationen der Datenschutzbehörde aus Hamburg):

  • Webseitenbetreiber müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Diesen Vertrag erhalten Sie unter „http://www.google.com/analytics/terms/de.pdf“.
  • Webseitenbetreiber müssen die Nutzer Ihrer Website in Ihrer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Hierbei sollte möglichst auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden.
  • Webseitenbetreiber müssen durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen.

Im konkreten Fall stellte der Webseitenbetreiber überhaupt keine Datenschutzerklärung und damit auch keine Informationen zum Einsatz von Google Analytics zur Verfügung. Damit lag ein Verstoß gegen die Informationspflicht des § 13 Abs. 1 S. 1 TMG vor. Bei dieser Vorschrift handelt es sich nach Auffassung vieler Gerichte (u.a. auch des OLG Hamburg, Urt. v. 27. Juni 2013 – Az. 3 U 26/12) um eine sogenannte Marktverhaltensregelung im Sinne des § 3a UWG. Die Verletzung einer solchen Regelung kann durch Wettbewerber abgemahnt und die Abgabe einer Unterlassungserklärung gefordert werden. Wenn eine solche Erklärung nicht rechtzeitig abgegeben wird, kann der Unterlassungsanspruch im Wege der einstweiligen Verfügung vor Gericht durchgesetzt werden, wie der oben verlinkte Beschluss einmal mehr zeigt.

Für den Abgemahnten bzw. im Fall des Erlasses einer einstweiligen Verfügung, den Antragsgegner, können am Ende Kosten in vierstelliger Höhe entstehen, die er dem Antragsteller zu ersetzen hat. Hinzu kommt, dass spätestens mit Zustellung der einstweiligen Verfügung der weitere Einsatz von Google Analytics nur noch möglich ist, wenn sofort die oben geschilderten Anforderungen umgesetzt werden. Andernfalls droht ein empfindliches Ordnungsgeld. Jeder Webseitenbetreiber, der Google Analytics nutzt, sollte daher darauf achten, in jedem Fall die oben aufgeführten Anforderungen umzusetzen. Man mag vielleicht meinen, dass es eher unwahrscheinlich ist, in das Visier einer Datenschutzbehörde zu gelangen. Die Gefahr, von einem Wettbewerber abgemahnt zu werden, ist jedenfalls durchaus realistisch.

Disclaimer: Die Kanzlei JBB Rechtsanwälte war an dem Verfahren vor dem Landgericht Hamburg als Vertreter der Antragstellerseite beteiligt.

Datenschutz-Grundverordnung: Auslegungshilfe und praktischer Überblick

Die endgültige Textfassung der zukünftigen Datenschutz-Grundverordnung wird derzeit noch durch den Übersetzungsdienst der Europäischen Union, in Absprache mit dem europäischen Parlament und den Mitgliedstaaten, erstellt. Inhaltlich weiß man im Groben seit der Einigung im Trilog am 17. bzw. 18. Dezember 2015 auf einen gemeinsamen Text, welche Regelungen in Zukunft für den Umgang mit Person bezogenen Daten in Europa gelten werden.

Zwar werden viele altbekannte Prinzipien der geltenden EU-Datenschutzrichtlinie fortgeführt und unverändert übernommen. Nichtsdestotrotz wird es an vielen Stellen auch (größere oder kleinere) Änderungen geben. Datenschutzpraktiker sind vor diesem Hintergrund für jede Anwendungs- und Auslegungshilfe zu den neuen Regelungen dankbar.

Der Rat der Europäischen Union hat nun den Entwurf der Begründung des Rates (pdf) zu der Datenschutz-Grundverordnung veröffentlicht. Im Prinzip handelt es sich bei diesem 36-seitigen Dokument um einen hilfreichen, wenn auch groben Überblick über und eine geraffte Zusammenfassung der zukünftigen Regelungen. Mit Blick auf die zukünftige Auslegung der Datenschutz-Grundverordnung durch die Praxis, die Gerichte oder die Datenschutzaufsichtsbehörden dürfte dieses Dokument durchaus nützlich sein.

Gerichtsurteil: Arbeitnehmer können in Videoüberwachung einwilligen

Mit Urteil vom 29. Januar 2016 (Az.: 1 K 1122/14) hat sich das Verwaltungsgericht Saarlouis zu zwei interessante datenschutzrechtliche Fragen geäußert. Zum einen zur Frage der datenschutzrechtlichen Zulässigkeit einer Videoüberwachung in einer Apotheke und zum anderen zur Frage der Möglichkeit, in einem Arbeitsverhältnis wirksam gegenüber dem Arbeitgeber einwilligen zu können.

Geklagt hatte der Eigentümer eine Apotheke gegen eine Untersagungsverfügung der zuständigen Datenschutzaufsichtsbehörde. Er überwachte sowohl den öffentlich zugänglichen Verkaufsraum als auch einen nur für das Personal zugänglichen Bereich zu einem Betäubungsmittelschrank mit Videokameras. Die Aufzeichnungen wurden automatisch alle 2 Wochen gelöscht und unterlagen nur dem Zugriff durch den Kläger. Grund für die Überwachung war vor allem ein Schwund bzw. Fehlbestand an Medikamenten und damit einhergehender finanzieller Verlust. Die Datenschutzbehörde untersagte dem Kläger die Videoüberwachung im Verkaufsraum und auch am Betäubungsmittelschrank.

Das Gericht hob den Bescheid der Behörde insoweit auf, als die Untersagung die Videoüberwachung an dem Betäubungsmittelschrank betraf. Im Übrigen wurde der Bescheid als rechtmäßig angesehen.

Videoüberwachung im Verkaufsraum und am Kundeneingang

Keine Einwilligung der Kunden

Das Gericht stellte fest, dass es hinsichtlich aller Kameras im Verkaufsraum an einer wirksamen Einwilligung der Kunden fehle.

Aus der Tatsache, dass auf die in dem Verkaufsraum stattfindende Videoüberwachung durch Beschilderung an den Eingangstüren zur Apotheke hingewiesen wird, könne keine konkludente Einwilligung der Kunden, die dennoch und damit in Kenntnis der Videoüberwachung die Verkaufsräume der Apotheke betreten, abgeleitet werden.

Gesetzliche Erlaubnis (§ 6 b BDSG)

Auch sei die Videoüberwachung der Kundeneingänge und des Freiwahlbereichs des Verkaufsraums mit § 6 b Abs. 1 BDSG unvereinbar. Das Gericht prüft das Vorliegen der Voraussetzungen von § 6 b BDSG und stellt zunächst fest, dass es sich bei dem Freiwahlbereich der Apotheke um einen öffentlich zugänglichen Raum handelt. Zwar diene die Videoüberwachung im Verkaufsraum der Wahrnehmung des Hausrechts nach § 6 b Abs. 1 Nr. 2 BDSG, nicht aber der Wahrnehmung berechtigter Interessen nach § 6 b Abs. 1 Nr. 3 BDSG.

Zu diesen berechtigten Interessen gehöre zwar grundsätzlich jedes rechtliche, wirtschaftliche und ideelle Interesse, sofern es objektiv begründbar ist und sich nicht nur an den subjektiven Wünschen und Vorstellungen der verantwortlichen Stelle orientiert. Kommt damit eine die Videoüberwachung zum Zweck der Gefahrenabwehr zum Einsatz, wird man nach Auffassung des Gerichts regelmäßig eine Wahrnehmung berechtigter Interessen annehmen können.

Wichtig ist jedoch insoweit, dass eine konkrete oder zumindest abstrakte Gefährdungslage darzulegen ist. Daran fehlte es im vorliegenden Fall. Dies ist ein wichtiger Aspekt des Urteils. Das Gericht lehnt die Zulässigkeit einer Videoüberwachung im Verkaufsraum nicht per se ab. Vorliegend lagen nur nicht genug Anhaltspunkte dafür vor, die eine zumindest abstrakte Gefährdungslage begründen würden.

Mit Blick auf eine konkrete Gefährdungslage führt das Gericht aus, dass der Kläger nicht aufzeigen konnte, welche Arzneimittel und ob überhaupt und wenn ja welche nicht apothekenpflichtigen Waren abhandengekommen sind. Sein Hinweis auf Entwendungen in der Apotheke, reiche allein nicht aus.

Auch eine abstrakte Gefährdungslage habe der Kläger nicht darlegen können.

Zwar diene die Videoüberwachung der Wahrnehmung des Hausrechts (§ 6 b Abs. 1 Nr. 2 BDSG). Jedoch sei ihre Erforderlichkeit im streitigen Einzelfall nicht ersichtlich gewesen. Auch hier ist darauf hinzuweisen, dass das Gericht allein auf Grundlage der Umstände des Einzelfalls und der mangelnden Darlegung der Erforderlichkeit die Videoüberwachung als unzulässig ablehnte. In einem anderen Fall, kann eine solche Überwachung also durchaus zulässig sein.

Das Gericht führt aus, dass wenn eine Videoüberwachung zur Wahrnehmung des Hausrechts diene, diese der Verfolgung präventiver Zwecke dienen könne, sofern Ziel der Maßnahme ist, Personen von der Begehung von Rechtsverstößen innerhalb des vom Hausrecht geschützten Bereichs abzuhalten. Rechtsverstöße können insoweit auch die Verübung von Diebstählen sein.

Auf ein solches Hausrecht kann sich der Kläger als Inhaber der Apotheke grundsätzlich auch berufen. Er hat ein Interesse daran, die in der Apotheke befindlichen Arzneimittel und die Waren des Freiwahlbereichs zu schützen sowie Personen, die die Apotheke zu unberechtigten Zwecken betreten, aus dieser zu verweisen.

Es fehlte vorliegend jedoch, wie beschrieben, an der konkreten Erforderlichkeit der Maßnahme.

Der Kläger habe, so das Gericht, im konkreten Fall keine Tatsachen dargelegt, die es nachvollziehbar machten, dass das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann.

Videoüberwachung im Mitarbeiterbereich

Die offene Videoüberwachung an dem Betäubungsmittelschrank ist hingegen datenschutzrechtlich zulässig, weil die Beschäftigten wirksam eingewilligt haben.

Gesetzliche Erlaubnis (§§ 6 b, 32 BDSG)

Zuvor geht das Gericht noch auf mögliche gesetzliche Erlaubnistatbestände ein.

Die Videoüberwachung sei hier aber nicht an § 6 b BDSG zu messen. Diese Vorschrift finde nämlich dann keine Anwendung, wenn es um die Videoüberwachung von Arbeitsplätzen geht, die sich in nicht öffentlich zugänglichen Bereichen befinden. Um so einen Bereich handelte es sich bei dem Lager der Apotheke, das nur dem Zutritt von Apothekenpersonal offenstand.

Auch die Voraussetzungen des § 32 BDSG lagen nach Ansicht des Gerichts nicht vor.

Zur Aufdeckung von Straftaten erlaube § 32 Abs. 1 S. 2 BDSG zwar den Einsatz von datenschutzrechtlich relevanten Maßnahmen, wozu nach Ansicht des Gerichts ausdrücklich auch die Videoüberwachung gehört. Jedoch nicht allein zu präventiven Zwecken. Immer erforderlich seien tatsächliche Verdachtsmomente. Daran mangelte es im vorliegenden Fall.

Des Weiteren, so das Gericht, sei die Videoüberwachung am Betäubungsmittelschrank auch nicht erforderlich. Das wäre sie nur dann, wenn es kein milderes, gleich geeignetes Mittel zur Erreichung des Zwecks gäbe. Auch dies beurteilt sich anhand des Einzelfalles. Dies bedeutet freilich auch, dass eine solche Überwachung durchaus zulässig sein kann.

Nach Auffassung des Gerichts ermöglichte im vorliegenden Fall das Verschließen des Betäubungsmittelschranks und das Führen von Entnahme- und Kontrolllisten effektiv, den Zugriff auf den Betäubungsmittelschrank zu kontrollieren. Dies wäre daher im Hinblick auf das Recht auf informationelle Selbstbestimmung der Arbeitnehmer das weniger einschneidende Mittel gewesen.

Einwilligung der Mitarbeiter

Begrüßenswerter Weise stellt auch das Verwaltungsgericht (wie dies bereits 2015 das Bundesarbeitsgericht entschied, Az. 6 AZR 845/13) ganz ausdrücklich klar, dass Arbeitnehmer gegenüber ihrem Arbeitgeber grundsätzlich wirksam eine datenschutzrechtliche Einwilligung erteilen können.

Im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden”, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei.

Jedoch weißt das Gericht auch auf die allgemeinen Wirksamkeitsvoraussetzungen der Einwilligung hin und konstatiert, dass sie als Grundlage einer Überwachung eher ungeeignet sei, da sie jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Für die Praxis relevant dürften die Ausführungen des Gerichts zu den konkreten Anforderungen an die Einwilligung sein. Eine Unterschriftenliste unter dem alleinigen Satz – „Mir ist bekannt, dass in der S.-Apotheke 5 Überwachungskameras aufgestellt sind und ich erkläre mich damit einverstanden.“ – genüge offensichtlich auf keinen Fall den Anforderungen des § 4 a Abs. 1 BDSG.

Der Kläger reichte während des gerichtlichen Verfahrens 18 einzelnen Einwilligungserklärungen der Beschäftigten nach, die den Anforderungen formal genügten.

Mit Blick auf das Erfordernis der freien Entscheidung der Mitarbeiter stellt das Gericht zudem noch fest, dass auch in einem Verhältnis des Machtungleichgewichts die Selbstbestimmung nicht unbedingt ausgeschlossen sein müsse. Es bedürfe daher konkreter Anhaltspunkte dafür, dass ein Arbeitnehmer im Einzelfall die Einwilligung nicht ohne Zwang abgegeben habe. Als Indiz für einen zusätzlichen Druck könne nach Ansicht des Gerichts der Zwang zur Unterschrift auf einer gemeinsamen Erklärung (gewisser Gruppenzwang) angesehen werden.

 

Zum Like-Button Urteil in Düsseldorf: Wer ist denn nun für was verantwortlich?

Heute hat das Landgericht Düsseldorf in einem Verfahren zwischen der Verbraucherzentrale NRW und dem Unternehmen Fashion ID ein Urteil (pdf) zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt (Az 12 O 151/15). Im Ergebnis wurde die Klage der Verbraucherschützer in weiten Teilen für begründet erachtet. Nachfolgend möchte ich kurz auf einige Aspekte des Urteils, teilweise auch kritisch, eingehen.

Das Unternehmen hatte auf seiner Webseite das bekannte Social Plugin eingebunden und hierauf in seiner Datenschutzerklärung, die über einen Link erreichbar war, hingewiesen. Zudem wurde dort darauf aufmerksam gemacht, dass Daten an Facebook übertragen werden und auf die Datenschutzerklärung von Facebook hingewiesen.

Personenbezug von IP-Adressen

Im Tatbestand führt das Gericht zunächst aus, dass es vorliegend um sog. Dynamische IP-Adressen geht. Nur dem jeweiligen Telekommunikationsunternehmen als Anbieter des Internetzugangs sei es möglich, Auskunft darüber zu erteilen, welchem Anschlussnehmer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war.  Zudem geht das Gericht davon aus, dass beim Aufruf einer Webseite, die den Like-Button integriert hat, mindestens die IP-Adresse und der String des vom Webseitenbesucher genutzten Browsers an Facebook übermittelt werden.

Wichtig ist die Feststellung des Gerichts, dass diese Daten nicht vom Server des Webseitenbetreibers, sondern von dem Endgerät des Nutzers direkt an Facebook übermittelt werden.

In seinen Urteilsgründen geht das Gericht weiter davon aus, dass es Facebook zumindest mit Blick auf registrierte Mitglieder (seien diese ein- oder ausgeloggt, wenn sie die Webseite von Fashion ID besuchen) möglich sei, dieser IP-Adresse und anderen Informationen ein Mitglied zuzuordnen. Für Facebook handelt es sich also bei jenen Informationen, die über den Like-Button erhoben werden, um personenbezogene Daten.

Doch macht das Gericht hier nicht Halt, sondern geht, der sog. absoluten Theorie des Personenbezugs folgend, davon aus, dass damit die IP-Adresse auch für Fashion ID ein personenbezogenes Datum darstelle. Die Übermittlung der IP-Adresse stelle daher eine Übermittlung personenbezogener Daten dar.

Interessanterweise spricht das Gericht hier ausdrücklich von einer „Übermittlung“, obwohl zuvor festgestellt wurde, dass diese Übermittlung nicht, zumindest nicht technisch, durch den Webseitenbetreiber vorgenommen wird, sondern direkt zwischen dem Nutzer und Facebook erfolgt.

Webseitenbetreiber als datenschutzrechtlich verantwortliche Stelle

Danach stellt das Gericht fest, dass Fashion ID eine verantwortliche Stelle nach § 3 Abs. 7 BDSG ist. Es fragt sich jedoch: für was? Bzw. für welche konkreten Datenerhebungs-, – verarbeitungs- oder –nutzungsvorgänge?

Nach Auffassung des Gerichts ist der Begriff der „verantwortlichen Stelle“ weit auszulegen und der Webseitenbetreiber „beschafft“ personenbezogene Daten. Damit liegt eine datenschutzrechtlich relevante Erhebung (§ 3 Abs. 3 BDSG) vor. Diese Feststellung ist meines Erachtens von besonderer Relevanz für das weitere Studium des Urteils. Unter anderem auch deshalb, da später auf andere Verarbeitungsphasen abgestellt wird, was doch irritiert. Und zum anderen deshalb, weil ich eine datenschutzrechtliche Einwilligung konkret auf einen bestimmten Umgang mit personenbezogenen Daten beschränken muss. Unternehmen sollten also als Ergebnis zumindest wissen müssen, für welche Phase der Erhebung, Verarbeitung oder Nutzung sie, nach Auffassung des LG Düsseldorf, verantwortlich sind.

Schon im nächsten Satz führt das Gericht darüberhinausgehend aus, dass das Unternehmen durch die Einbindung des Plugins die „Datenerhebung und spätere Verwendung der Daten“ durch Facebook ermögliche.

Zwei Kritikpunkte: Die „Ermöglichung“ einer Datenverarbeitung ist nicht von der Definition der verantwortlichen Stelle (§ 3 Abs. 7 BDGS) umfasst. Zudem scheint nun hier doch eine Datenerhebung durch Facebook im Raum zu stehen, obwohl zuvor die Erhebung durch den Webseitenbetreiber festgestellt wurde.

In einem weiteren Satz geht das Gericht dann davon aus, dass Fashion ID durch das Einbinden des Plugins an der unmittelbar „an der Erhebung durch Facebook“ mitwirke. Geht das Gericht also nun von einer alleinigen Verantwortlichkeit für die Erhebung, einer Mitverantwortlichkeit oder aber einer Verantwortlichkeit von Facebook aus? Dies wird leider nicht deutlich.

Das LG Düsseldorf urteilt weiter, dass die „Erhebung der Daten zu deren Verwendung“ im „eigenen Tätigkeits- und Haftungsbereich“ des Unternehmens stattfinde. Auch hieraus ergibt sich meines Erachtens nicht klar, für welchen Vorgang das Unternehmen nun datenschutzrechtlich verantwortlich sein soll.

Dass Fashion ID keinen Einfluss auf die Verarbeitung der Daten hat, lässt das LG Düsseldorf nicht als Gegenargument gelten. Denn, so das Gericht, der „Vorgang“ wird durch die Einbindung des Codes in die eigene Webseite initiiert.

Rechtsgrundlage der … ja, was eigentlich?

Im nächsten Prüfungspunkt geht das Gericht auf die Frage der Zulässigkeit der „Datenübermittlung“ ein. Spätestens hier stellt sich mir die Frage, wie man nun auf die Phase der Übermittlung kommt, denn zuvor wurde noch über die „Erhebung“ diskutiert. Zudem möchte man fragen: welche Übermittlung? Vom Nutzer an Facebook?

Aus Sicht des LG Düsseldorf ist diese Datenübermittlung auf jeden Fall nicht auf § 15 TMG zu stützen. Denn die Datenübermittlung ist für den Betrieb der Webseite nicht erforderlich.

Danach prüft das Gericht eine „Datennutzung“, die nicht auf eine Einwilligung der Besucher gestützt werden könne. Hierunter scheint das LG Düsseldorf die Erhebung der Daten durch Fashion ID zu fassen.

Das Gericht erläutert nachfolgend die Anforderungen an eine Einwilligung nach § 13 Abs. 2 TMG. Nach Auffassung des Gerichts ist u.a. das Setzen eines Häckchens in einer Checkbox erforderlich, damit die Einwilligung eindeutig erteilt wird. Andere Gerichte, wie etwa das OLG Frankfurt am Main (hierzu mein Beitrag), sehen dies anders und lassen etwa für Cookies zu Werbezwecken ein opt-out als Form der Einwilligung ausreichen.

Ein Kommentar hierzu: wenn die Verbraucherzentrale NRW und das LG Düsseldorf für die Einbindung des normalen Like-Buttons tatsächlich eine Einwilligung nach § 13 Abs. 2 TMG fordern, frage ich mich, wie Webseitenbetreiber die übrigen Voraussetzungen der Norm erfüllen sollen. Gerade die Protokollierung und die jederzeitige Abrufbarkeit der Einwilligung durch den Nutzer werden wohl überhaupt nur möglich sein, wenn der Webseitenbetreiber noch mehr personenbezogene Daten sammelt und verarbeitet. Wie könnte die Erteilung der Einwilligung sonst protokollieren oder diese zum Abruf für jeden Nutzer bereithalten? Am Ende müsste der Webseitenbetreiber also eventuell, obwohl er daran gar kein Interesse hat, erst recht personenbezogene Daten erheben und verarbeiten.

Zudem stellt sich mir aus praktischer Sicht die einfache Frage, welchen konkreten Inhalt die hier geforderte Einwilligung denn nun haben soll. Bezieht sie sich auf die Erhebung, die Verarbeitung oder Nutzung? Bezieht sie sich auf diese Verarbeitungsvorgänge durch den Webseitenbetreiber oder durch Facebook? Wie kann ein Unternehmen eine konkret formulierte und auf bestimmt Zwecke festgelegte Einwilligungserklärung formulieren, wenn es selbst nicht weiß, für welche Zwecke die Daten bei Facebook genutzt werden?

Hinweise in der Datenschutzerklärung nicht ausreichend

Wie beschrieben hielt Fashion ID eine Datenschutzerklärung mit Informationen zum Like-Button vor. So, wie dies wohl derzeit auf deutschsprachigen Webseiten der Usus sein wird.

Dies reicht dem Gericht jedoch nicht aus. Denn der Hinweise auf die (ich gehe einmal davon aus) Erhebung erfolge so nicht „zu Beginn“ des Verarbeitungsvorgangs.

Fazit

In vielerlei Hinsicht lässt einen die Begründung des Gerichts zumindest innehalten oder die Stirn runzeln. Möchten Webseitenbetreiber die durch das Gericht aufgestellten Voraussetzungen erfüllen und dabei nicht auf Lösungen wie die 2-Klick-Lösung zurückgreifen, bleibt wohl nur ein Pop-Up oder Banner, welcher eine Einwilligungserklärung (mit opt-in check box) enthält. Die Einwilligung muss dann auch protokolliert und zum Abruf bereitgehalten werden. Man darf gespannt sein, ob dieses Urteil nicht eventuell in die nächste Instanz getragen wird.

Bundesregierung: Generelles Tracking-Verbot im Internet kaum umsetzbar

Am 25. Februar 2016 hat der Petitionsausschuss des Deutschen Bundestages seine Begründung (pdf) zu der Petition 58055 – “Internet – Generelles Verbot von Tracking im Internet” vom 19.03.2015 beschlossen.

Mit der Petition wird ein generelles „Tracking“-Verbot gefordert, unter anderem mit der Begründung, dass „Tracking“ im Zeitalter von Big Data ein unregierbares Risiko für jeden Verbraucher darstelle und im Internet in der Regel ohne die Kenntnis der Verbraucher jeder Aufruf einer Website an Drittunternehmen übertragen werde.

Der Petitionsausschuss hat auch die Bundesregierung zur Stellungnahme zu der Petition aufgefordert, die in die Begründung des Ausschusses mit eingeflossen ist.

Dem Grunde nach scheint der Ausschuss die Bedenken des Petenten zu teilen. So stellt er fest,

dass Unternehmen im Internet mit Hilfe von Cookies und anderen Verfolgungstechniken in die Privatsphäre der Nutzer eingreifen.

Jedoch versucht der Ausschuss, auch unter Bezugnahme auf die Stellungnahme der Bundesregierung, eine vermittelnde und praxisorientierte Position einzunehmen.

Denn Cookies können etwa auch bestimmten Funktionalitäten (z. B. dem Anzeigen von Produkten im „Warenkorb“) sowie der Benutzerfreundlichkeit dienen. Weiter führt der Ausschuss aus, dass sich Verbraucher derzeit nur ansatzweise gegen „Tracking“ mit restriktiven Einstellungen des verwendeten Browsers zum Datenschutz und der Installation von einschlägigen Add-ons schützen können.

Der Petitionsausschuss stellt nachfolgend fest,

dass ein generelles Verbot von „Tracking“ auf unterschiedlichen Ebenen nach Einschätzung der Bundesregierung nur mit sehr hohem Aufwand umsetzbar wäre.

Gerade die praktische Durchsetzung eines solchen Verbotes wäre nur schwer vorstellbar, da etwa Hersteller entsprechender Browser oft nicht in Deutschland oder der EU ansässig sind.

Für den Ausschuss ist es daher umso wichtiger, dass eine umfassende und verständliche Information der Internet-Nutzer über die eingesetzten Techniken und ihre Folgen erfolgt, insbesondere welche Daten von wem erhoben und an wen diese übertragen werden.