Einheitlicher Datenschutz durch #EUDataP? Denkste. Nicht bei Nutzerprofilen für Werbezwecke.

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO) schreiten voran. Der Rat der Europäischen Union möchte noch im Juni eine gemeinsame Position erzielen, mit der dann in die Trilog-Verhandlungen mit dem Parlament und der Kommission eingestiegen werden kann.

Ein in letzter Zeit gerade von deutschen Politikern immer wieder ins Feld geführter Vorteil der DS-GVO wird es sein, dass grundsätzlich ein einheitliches Datenschutzrecht für Europa geschaffen wird. Ein „level playing field“. Doch wenn der Jurist „grundsätzlich“ sagt, dann gibt es immer mindestens eine Ausnahme. Und diese Ausnahme wird, nach derzeitigem Stand, die Erstellung von Profilen unter Pseudonym (etwa durch Cookies) im Internet sein. In Deutschland gilt in diesen Fällen nach § 15 Abs. 3 TMG ein Opt-out-Prinzip. Der Nutzer muss auf sein Widerspruchsrecht hingewiesen werden. In anderen europäischen Ländern gilt ein Opt-in, also die vorherige Einwilligung.

Diese Unterschiede ergeben sich aus einer uneinheitlichen Umsetzung der europäischen Richtlinie 2002/58/EG (geändert durch RL 2009/136/EG; sog. ePrivacy-RL). Als eine Richtlinie macht dieses Instrument den Mitgliedstaaten nur generelle Vorgaben, welchen Inhalt nationale Gesetze haben müssen. Daher exisitiert auch eine in den Mitgliedstaaten uneinheitliche Umsetzung im jeweiligen Recht.

Art. 5 Abs. 3 der RL 2002/58/EG besagt, dass die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Eigentlich, so denkt man, wird hier klar eine Einwilligungspflicht vorgeschrieben. Und dies vor allem nicht nur für „personenbezogene Daten“, sondern für die Speicherung von Informationen (!) oder den Zugriff auf solche. In Deutschland war lange unklar, ob das geltende Telemediengesetz diese Vorgaben wirklich umsetzt.

Seit Februar 2014 und einem Artikel von Adrian Schneider auf Telemedicus wissen wir jedoch: sowohl die EU-Kommission als auch das Bundeswirtschaftsministerium gehen davon aus, dass die ePrivacy-RL in Deutschland umgesetzt wurde. Interessanterweise sehen das übrigens auch die europäischen Datenschützer (versammelt in der Art. 29 Gruppe) so. Dies ergibt sich aus einer Stellungnahme aus dem Jahr 2013 (WP 208, dort S. 2). Dort geht die Art. 29 Gruppe davon aus, dass die ePrivacy-RL seit Januar 2013 in allen EU-Staaten umgesetzt wurde.

Schön. Nun wissen wir also, dass unser geltendes TMG die europäischen Vorgaben nach Ansicht der zuständigen Stellen umsetzt.

Und wie komme ich nun zu der Annahme, dass es nach Inkrafttreten der DS-GVO weiterhin dabei bleibt, dass für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellt werden dürfen, sofern der Nutzer dem nicht widerspricht (=Opt-out)?

Diese Woche hat die Europäische Kommission ihre Initiative für den Digitalen Binnenmarkt vorgestellt. Sie behandelt darin viele wichtige Themen. Fast beiläufig findet sich auf S. 47 des Arbeitspapiers (PDF) die Aussage, dass die ePrivacy-RL eine sog. „lex specialis”, also ein spezielles Gesetz, das dem allgemeinen Gesetz (dann der DS-GVO) in ihrem Anwendungsbereich vorgeht. Damit würde auch die Vorgabe aus Art. 5 Abs. 3 der ePrivacy-RL, die ja nach Angaben der Ministerien und der Kommission in Deutschland umgesetzt ist, ebenfalls den Regeln der DS-GVO, etwa zur Bildung von Profilen unter Pseudonymen, vorgehen.

Man könnte nun noch fragen, ob denn die ePrivacy-RL nicht nur für den Bereich der elektronischen Kommunikation ein Spezialgesetzt ist, also etwa das Angebot der Telekommunikationsunternehmen. Meines Erachtens nicht. Denn das besondere an Art. 5 Abs. 3 der ePrivacy-RL ist gerade, dass diese Vorgabe nicht nur auf Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste und auf Betreiber öffentlicher Kommunikationsnetze in der Gemeinschaft anwendbar ist, sondern für jede Rechtsperson, die Informationen auf intelligente Endgeräte überträgt oder auf diesen Geräten liest, gilt. So im übrigen auch die Art. 29 Gruppe in ihrer Stellungnahme WP 202 (PDF), dort S. 9.

Also, wenn sich nicht innerhalb der Verhandlungen zur DS-GVO etwas am Verhältnis zur ePrivacy-RL ändert oder hierzu eine Klarstellung erfolgt, gilt in Zukunft weiterhin ein uneinheitlicher Datenschutz in Europa, zumindest in Bezug auf die Erstellung von Nutzerprofilen über Cookies zu Werbezwecken unter Pseudonym. Happy level playing field!

Gericht: Namen und Kontaktdaten von Amtsmitarbeitern dürfen nicht im Internet veröffentlicht werden

Der Bayerische Verwaltungsgerichtshof hat mit Urteil vom 25.03.2015 (Az. 5 B 14.2164) entschieden, dass personenbezogene Daten von Behördenmitarbeitern (etwa Name, Telefon- und Faxnummer) nicht einfach öffentlich im Internet von Dritten zum Abruf bereitgehalten werden dürfen. Es fehle diesbezüglich an einem berechtigten Interesse des Veröffentlichenden und auch das schutzwürdige Interesse des Betroffenen würde, wenn die Informationen ansonsten nicht öffentlich verfügbar sind, überwiegen.

Der Fall
Eine kommunale Wählervereinigung in der Rechtsform eines eingetragenen Vereins, deren Zweck die Teilnahme an Kommunalwahlen ist, wendete sich gegen eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (LDA) zur Löschung personenbezogener Daten. Grundlage dieser verwaltungsrechtlichen Anordnung gegen den Verein war, dass dieser auf seiner Homepage den E-Mail-Verkehr zwischen dem Vorstand und einer Angestellten im öffentlichen Dienst im Bürgerbüro des Umweltministeriums veröffentlichte. In der von dem Verein veröffentlichten Adresszeile und in der Signatur der E-Mails waren der Anfangsbuchstabe des Vornamens der Angestellten, ihr Nachname, ihre dienstliche E-Mailadresse, die um die letzten beiden Ziffern gekürzte Telefonnummer, die dienstliche Faxnummer und die Dienstadresse angegeben.

Die Entscheidung
Das Gericht entschied, dass sich der Kläger nicht auf das sogenannte Medienprivileg nach § 41 BDSG berufen kann und dass auch sonst keine Rechtsvorschrift ersichtlich sei, die die Nennung personenbezogener Daten Dritter auf der Homepage erlauben würde.

Veröffentlichung der Daten
Nach Ansicht des Gerichts wurden durch die Veröffentlichung des Mail-Verkehrs und der darin enthaltenen Informationen auf der Homepage die personenbezogenen Daten der Behördenmitarbeiterin in der Weise verarbeitet, das Dritte diese Daten einsehen oder abrufen konnten. Damit lag nach Auffassung des Gerichts eine Datenübermittlung nach § 3 Abs. 4 S. 2 Nr. 3 b) BDSG vor. Was das Gericht hier jedoch unbeachtet lässt ist, dass nach dem Gesetz diese Daten auch tatsächlich eingesehen oder abgerufen werden müssen („einsieht oder abruft“). Im Ergebnis liegt freilich dennoch eine Datenverarbeitung vor, sei es als Speicherung (§ 3 Abs. 4 S. 2 Nr. 1 BDSG) oder in der Form der Weitergabe (§ 3 Abs. 4 S. 2 Nr. 3 a) BDSG), denn für die Weitergabe reicht die Möglichkeit der Kenntnisnahme der Informationen durch einen Dritten aus. Mit Blick auf die Veröffentlichung von Daten auf einer Internetseite entscheid dies der EuGH im Jahre 2003 (C-101/01) noch anders, wobei dieser Entscheidung wohl auch andere Erwägungen zugrundlagen. In der Google-Entscheidung (C-131/12) ging der EuGH jüngst relativ unproblematisch davon aus, dass die Darstellung von Ergebnislisten mit personenbezogenen Daten im Internet eine Weitergabe dieser Daten an Dritte darstellt.

Kein Medienprivileg
Der Verein brachte zu seiner Verteidigung unter anderem vor, dass sein Handeln unter das sog. Medienprivileg (§ 41 BDSG) fallen würde und er daher die Vorgaben des BDSG weitestgehend nicht zu beachten habe. Nach § 41 BDSG werden Unternehmen oder Hilfsunternehmen der Presse von den Bestimmungen des BDSG weitgehend freigestellt, soweit sie personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken erheben, verarbeiten oder nutzen. Dieser Auffassung folgte das Gericht nicht:

Bei der vom Kläger durch seinen Vorstand betriebenen Webseite handelt es sich, wie ein Blick auf den in der Satzung des Vereins beschriebenen Vereinszweck eindeutig zeigt, nicht um eine Tätigkeit im Pressewesen, sondern um eine Tätigkeit in der kommunalen Parteipolitik.

Das Berichten zu einem bestimmten politischen Thema auf der Homepage über eigene Aktivitäten sei für den Verein daher nicht Zweck, sondern nur das Mittel zum eigentlichen Zweck des politisch tätigen Vereins gewesen. Einer Verarbeitung von Daten zu ausschließlich journalistisch-redaktionellen Zwecken fand daher nicht statt.

Auch hier könnte man die Wertung des Gerichts zumindest kritisch hinterfragen. Die im Datenschutzrecht vorgesehene Privilegierung von Datenverarbeitungen für ausschließlich journalistische Zwecke ist nämlich durchaus nicht im Sinne klassischer Pressearbeit zu verstehen. So hat bereits der EuGH festgestellt (C-73/07), dass Handlungen als journalistische Tätigkeiten eingestuft werden können,

wenn sie zum Zweck haben, Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten. Journalistische Tätigkeiten sind nicht Medienunternehmen vorbehalten und können mit der Absicht verbunden sein, Gewinn zu erzielen.

Der EuGH legt die das Medienprivileg also durchaus weit aus. Dies ändert freilich nichts an der Voraussetzung, die Datenverarbeitung ausschließlich zu einem journalistischen Zweck, wie etwa die Verbreitung von Meinungen, vorzunehmen.

Keine gesetzliche Erlaubnis
Damit war klar, dass die Datenverarbeitung vollumfänglich in den Anwendungsbereich des BDSG fiel. Nach § 4 Abs. 1 BDSG war somit eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen erforderlich. Eine Einwilligung lag freilich nicht vor. Auch § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach das Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, konnte vorliegend nicht zu einer Rechtmäßigkeit der Verarbeitung führen.

Das Gericht verneinte bereits das Vorliegen eines Interesses des Vereins, den Namen und die Kontaktdaten der Betroffenen konkret zu benennen. Eine solche Einschätzung hängt freilich immer sehr stark von den Umständen des Einzelfalls ab. Vorliegend besaß die Betroffene ersichtlich keine sachbearbeitende oder sonstwie herausgehobene Funktion. Sie hatte lediglich Fachinformationen von der zuständigen Fachabteilung an den Verein weitergeleitet. Es bestehe schlicht kein Zusammenhang zwischen dem veröffentlichten Inhalt der E-Mails und der Person der Betroffenen.

Das Gericht stellt zum Schluss zudem fest, dass selbst für den Fall, dass ein berechtigtes Interesse des Vereins bestanden hätte, das schutzwürdige Interesse der Betroffenen vorliegend überwogen hätte. Die Begründung ähnelt ein wenig derjenigen, die wir aus dem bereits oben einmal zitierten Google-Urteil des EuGH kennen. Nach dem Gericht handelte es sich insofern um einen nicht ganz unerheblichen Eingriff in das Persönlichkeitsrecht der Betroffenen, deren Daten zudem gerade nicht allgemein zugänglich waren. Diese Feststellung gelte auch für die im öffentlichen Dienst tätigen Mitarbeiter, die ohne ein überwiegendes berechtigtes Interesse mit ihren personenbezogenen Daten nicht einfach im Internet benannt werden dürften. Der für den Verein relevante Verwaltungsvorgang als solcher ließe sich zudem problemlos und ohne sachlichen Informationsverlust auch ohne Nennung personenbezogener Daten darstellen. So stellt das Gericht letztendlich fest:

Zusammengefasst wäre bei einer Interessenabwägung daher dem Interesse der Beigeladenen, ihre personenbezogenen Daten nicht weltweit abrufbar im Internet veröffentlicht zu sehen, der Vorrang einzuräumen.

Fazit
In der Sache und auf der Grundlage der in diesem Einzelfall vorliegenden Umstände, ist das Urteil durchaus vertretbar. Insbesondere im Rahmen der Abwägung der Interessen der Beteiligten steckt jedoch oft ein gewisser Spielraum für Argumentationen, so dass ein Ergebnis kaum per se vorhersehbar erscheint.

Digitaler Binnenmarkt: EU-Kommission plant umfassende Reformen

In dieser Woche wurden zwei Entwurfsdokumente der Europäischen Kommission geleaked, die ambitionierte Ideen für Reformen auf dem digitalen Binnenmarkt in Europa erkennen lassen.

Hier die Links zu den beiden Dokumenten:
Digital Single Market: The Evidence
A Digital Single Market Strategy for Europe

Betroffen von den vorgeschlagenen Reformen wären sowohl der Verbraucherschutz, der E-Commerce, das Urheberrecht oder auch das Datenschutzrecht. Ich möchte mich auf einige Aspekte beschränken.

Illegale Inhalte im Internet
Die Kommission verweist bei der Frage der rechtlichen Grundlage zum Vorgehen gegen illegale Inhalte im Internet auf die derzeitigen Vorgaben der e-Commerce-Richtlinie. Nach dieser sind Intermediäre für fremde Inhalte grundsätzlich nicht selbst verantwortlich, müssen jedoch tätig werden, wenn sie von rechtswidrigen Inhalten erfahren. Die Kommission sieht hier Probleme bei der Rechtedurchsetzung, insbesondere könne der Prozess zum Löschen rechtswidriger Inhalte lange dauern und intransparent sein. Zudem sei oft nicht klar, wann Internet-Intermediäre von einer passiven Rolle (etwa des Hosters) in eine aktive Rolle schlüpfen und damit selbst für Inhalte verantwortlich sind. Die Kommission plant daher, weitere Initiativen zum Vorgehen gegen rechtswidrige Informationen im Netz vorzustellen und genauere Vorgaben für Sorgfaltspflichten von Intermediären aufzustellen.

Umgang mit personenbezogenen Daten
Datensicherheit spielt für die Kommission eine wichtige Rolle, wenn es um das Vertrauen der Bevölkerung in das Internet und den Umgang mit Daten geht. Es bestünden derzeit noch große Lücken bei dem Angebot an passenden Technologien und Lösungen, um Sicherheit in Netzwerken herstellen zu können. Zudem möchte die Kommission in Zukunft die Auswirkungen der Nutzung personenbezogener Daten für unterschiedliche Zwecke durch Internetdiensteanbieter untersuchen. Dieser Aspekt gehört zu einer großen geplanten Untersuchung des Marktes der Diensteanbieter im Internet.
Der Mitteilungsentwurf verweist auch auf die geplante Datenschutz-Grundverordnung. Die gesetzlichen Regelungen, welche durch diese aufgestellt werden, betreffen jedoch nicht spezialgesetzliche Vorgaben zum Umgang mit personenbezogenen Daten, etwa im Bereich der elektronischen Kommunikationsdienste (e-privacy-Richtlinie). Diese speziellen Gesetze sollen nach Verabschiedung der Datenschutz-Grundverordnung überprüft und eventuell reformiert werden.

Aufbau einer „Data Economy“
Die Kommission sieht (gesetzgeberischen) Handlungsbedarf in den „datengetriebenen“ Wirtschaftszweigen, insbesondere wo es um Big Data, Cloud-Dienste, Open Data und Fragen des Eigentums an Daten geht. Um die neu entstehenden, auf Daten beruhenden Technologien zu nutzen, möchte die Kommission die derzeit bestehenden Hindernisse beseitigen, welche einen freien Fluss von Daten innerhalb der EU verhindern. Nach Ansicht der Kommission müssen die Anbieter von „Datendiensten“ derzeit mit verschiedenen Schwierigkeiten kämpfen, unter anderem Anforderungen an eine Speicherung von Daten allein in einem bestimmten Land oder auch Anforderungen der Verschlüsselung. Die Kommission möchte daher eine „Freier Fluss von Daten“-Initiative anstoßen, welche sich der Beseitigung nationaler Vorgaben zur lokalen Speicherung von Daten und zur verpflichtenden Errichtung von Serverfarmen in einem bestimmten Land widmet. Dies gerade auch mit Blick auf den Bereich des Cloud-Computing.

Am Ende des Dokuments „A Digital Single Market Strategy for Europe“ findet sich noch eine Roadmap, auf der die jeweiligen Themen aufgelistet sind und ihnen Jahre zugeordnet werden, wann hier von Seiten der Kommission mit einer Initiative gerechnet wird.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld “An…” versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Bayerischer Datenschützer: Keine Aussetzungen unter Safe Harbor; erhöhtes Bußgeld bei Browser-Fingerprinting

Heute hat der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013 und 2014 vorgelegt. Das BayLDA ist zuständig für die Überwachung der Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern. Der Tätigkeitsbericht ist daher auf den Bereich des Datenschutzes in der Privatwirtschaft beschränkt. Die Ausführungen in dem Bericht sind für datenschutzrechtlich Interessierte sicherlich lesenswert und geben verantwortlichen Stellen in Bayern einen praxisnahen „Leitfaden“ an die Hand, wie die für sie zuständige Behörde das Datenschutzrecht durchsetzt. Nachfolgend zu einigen in dem Bericht behandelten Themen.

Safe Harbor: Keine Aussetzungen von Datentransfers
Bekanntlich sind vor allem die deutschen Datenschutzbehörden von dem Instrument „Safe Harbor“ als Grundlage für Übermittlungen personenbezogener Daten in die USA nicht überzeugt. Erst letzte Woche wurde eine Entschließung der deutschen Behörden veröffentlicht, nach der die

Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA entfaltet.

Das BayLDA schlägt hier in seinem Tätigkeitsbericht etwas pragmatischere (und meiner Ansicht nach die richtigen) Töne an. Die betreffende Entscheidung der Kommission (2000/520/EG vom 26.07.2000) ist nämlich nach dem Tätigkeitsbericht gegenwärtig nach wie vor in Kraft und für die Datenschutzbehörden der Mitgliedstaaten bindend (Art. 25 Abs. 6 Satz 2 der geltenden Datenschutzrichtlinie 95/46/EG). Das BayLDA weiter:

Auch wenn gerade die deutschen Datenschutzbehörden bereits mehrfach Kritik an der praktischen Umsetzung des Safe-Harbor-Systems geäußert haben, ist die Safe-Harbor-Kommissionsentscheidung auch für sie bindend. Damit ist nach wie vor davon auszugehen, dass US-Unternehmen, die eine aktuelle gültige Safe-Harbor-Zertifizierung besitzen, jedenfalls grundsätzlich ein „angemessenes Datenschutzniveau“ im Sinne von § 4b BDSG aufweisen. (S. 105)

Richtigerweise geht das BayLDA daher davon aus, dass personenbezogene Daten aus Deutschland an US-Unternehmen mit gültiger Safe Harbor-Zertifizierung übermittelt werden dürfen, vorausgesetzt die Datenübermittlung selbst ist ebenfalls gerechtfertigt (etwa durch eine Einwilligung oder auf der Grundlage eines Vertrages). Für deutsche Behörden besteht nach Art. 3 Abs. 1 Satz 1 Buchstabe b der Safe Harbor-Entscheidung die Möglichkeit, einzelne Datenübermittlungen an Safe Harbor-zertifizierte US-Unternehmen u. a. aussetzen. Safe Harbor selbst kann jedoch nur von der EU-Kommission abgeändert oder aufgehoben werden. Erforderlich für die Untersagung einzelner Datentransfers ist, dass „eine hohe Wahrscheinlichkeit besteht, dass die (Safe Harbor-Datenschutz-)Grundsätze verletzt werden“. Auf Grundlage dieser Gegebenheiten hat das BayLDA bislang jedoch keine Maßnahmen zur Aussetzung von Transfers personenbezogener Daten durch Unternehmen aus Bayern in die USA eingeleitet und es sind derzeit keine entsprechenden Maßnahmen vorgesehen.

Browser-Fingerprinting: Erhöhtes Bußgeld bei rechtswidriger Datenverarbeitung
Ein anderes Thema in dem wirklich lesenswerten Bericht ist das Tracking mit sog. „fortgeschrittenen Webtechnologien“ (ab S. 57). Zunächst werden einige Tracking-Technologien vorgestellt (u.a. Flash-Cookies; Canvas-Fingerprinting; Browser-Fingerprinting). Nach Ansicht des BayLDA ermöglicht der Einsatz dieser Trackingmethoden, dass der Browser eines Webseitenbesuchers mit sehr hoher Wahrscheinlichkeit eindeutig bestimmt werden kann. Dies auch dann, wenn der Nutzer das Setzen von herkömmlichen Cookies auf seinem PC ablehnt. Das BayLDA weist dann auf die Voraussetzungen des § 15 Abs. 3 TMG hin, wonach das Erstellen von Nutzungsprofilen unter Pseudonym zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien rechtlich zulässig ist, wenn ein Nutzer einem solchen Profil nicht widerspricht. Das BayLDA geht folglich grundsätzlich von der Möglichkeit eines rechtlich zulässigen Einsatzes der oben benannten Trackingmethoden auf der Grundlage von § 15 Abs. 3 TMG aus. Einschränkend fügt die Behörde jedoch hinzu, dass die Nutzer freilich auf ihr Widerspruchsrecht und auf die Datenverarbeitung an sich hinzuweisen sind. Nach Ansicht des BayLDA

gestaltet sich die praktische Umsetzung dieser gesetzlichen Anforderung jedoch oftmals als nicht ausreichend.

Häufig würden die Informationen nämlich nicht transparent und auch nicht verständlich dargestellt werden. Für die Praxis besonders wichtig ist in diesem Zusammenhang der Hinweis der Behörde, dass (im Fall der mangelnden Umsetzung der gesetzlichen Vorgaben) das Risiko eines Bußgeldes insofern erhöht wäre, da das BayLDA

den ordnungswidrigen Einsatz von Verfahren, mit denen die Nutzereinstellungen zum Schutz vor einer Nutzungsprofilbildung gezielt ausgehebelt werden, verstärkt mit Bußgeldern ahnden.

Der Tätigkeitsbericht befasst sich mit vielen weiteren Thematiken: von Fragen um den betrieblichen Datenschutzbeauftragen (was ist etwa bei einer längeren, krankheitsbedingten Abwesenheit zu tun?), über die Auftragsdatenverarbeitung und Werbung sowie Adresshandel wird eine bunte Palette an Themen behandelt.

Referentenentwurf des BMWi: Haftung von Host-Providern soll verschärft werden

Heute hat das Bundeswirtschaftsministerium den Referentenentwurf für ein Gesetz Änderung des Telemediengesetzes (TMG) veröffentlicht (PDF). Dabei geht es vor allem um den Versuch, die Störerhaftung beim öffentlichen Betrieb von WLANs zu regeln. Diesbezüglich hat der Entwurf sehr deutliche Kritik erfahren, u.a. im Blog bei dem Kollegen Thomas Stadler (Verschlimmbesserung: Der Gesetzesentwurf zur Störerhaftung von W-LAN-Betreibern) oder auf LTO durch den Kollegen Härting.

Der Referentenentwurf befasst sich jedoch nicht nur allein mit einer Anpassung des § 8 TMG und der Frage, welcher Anbieter wann für Rechtsverletzung haftet, die über den Zugang eines freien WLANs begangen werden, sondern geht darüber hinaus. Auch § 10 TMG (der die Haftungsprivilegierung für die Speicherung von fremden Informationen, also die typischen „Cloud“-Konstellationen, regelt) soll angepasst werden. Nach § 10 TMG sind Diensteanbieter, wie etwa Hosting-Anbieter, für fremde Informationen, die sie für einen Nutzer speichern nicht verantwortlich, sofern sie keine Kenntnis von der rechtswidrigen Handlung oder der Information haben. Im Falle von Schadenersatzansprüchen müssen dem Anbieter Tatsachen oder Umstände bekannt sein, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird. Vorgeschlagen wird nun die Schaffung eines neuen § 10 Abs. 2 TMG-E mit folgendem Wortlaut:

(2) Die Kenntnis von Tatsachen oder Umständen nach Absatz 1, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird, wird vermutet, wenn es sich bei dem angebotenen Dienst um einen besonders gefahrgeneigten Dienst handelt. Ein besonders gefahrgeneigter Dienst liegt in der Regel dann vor, wenn:

a) die Speicherung oder Verwendung der weit überwiegenden Zahl der gespeicherten Informationen rechtswidrig erfolgt oder

b) der Diensteanbieter durch eigene Maßnahmen gezielt die Gefahr einer rechtsverletzenden Nutzung fördert oder

c) in vom Diensteanbieter veranlassten Werbeauftritten mit der Nichtverfolgbarkeit bei Rechtsverstößen geworben wird oder

d) keine Möglichkeit besteht, rechtswidrige Inhalte durch den Berechtigten entfernen zu lassen.

Der Gedanke hinter der Neuregelung nach der Gesetzesbegründung:

Bei bestimmten Diensten kann nach der allgemeinen Lebenserfahrung davon ausgegangen werden, dass dem Diensteanbieter ausreichend viele Tatsachen oder Informationen bekannt sind, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird.

Bestimmte Fallkonstellationen, in denen aus Sicht des Gesetzgebers die Vermutung besteht, dass der Diensteanbieter eine entsprechende Kenntnis besitzt, sollen nun im § 10 Abs. 2 TMG-E festgeschrieben werden. Es geht im Prinzip also um eine gesetzliche Vermutung für eine Haftung des Hosting-Providers. Diese gesetzliche Vermutung (§ 292 ZPO) müsste im Fall des Falles der Anbieter dann entkräften können, indem er etwa beweist, dass er keine Kenntnis hatte. Dem Grundsatz möchte die Bundesregierung aber festlegen, dass Hosting-Anbieter, bei denen eine der oben aufgezählten Voraussetzungen (a) bis b)) vorliegt, für auf ihrer Plattform gespeicherte rechtswidrige Informationen haften. Die derzeit geltende Vermutung (keine Haftung für fremde Inhalte) soll also, zumindest für bestimmte Fälle um 180 Grad gedreht werden.

Berliner Datenschutzbeauftragter: Safe Harbor am Ende?

Am 28. Januar 2015 wurde der 9. Europäische Datenschutztag gefeiert. Die deutschen Datenschutzaufsichtsbehörden nahmen dies bei der von Ihnen gemeinsam in Berlin initiieren Veranstaltung zum Anlass, um zuvor auf einer Pressekonferenz Kritik an der derzeitigen Praxis von Datentransfers in die USA zu üben (vgl. die Meldung bei heise online).

Nach Auffassung der deutschen Behörden können Datenübermittlungen in die USA nicht mehr ohne weiteres auf das bestehende Instrument „Safe Harbor“ gestützt werden. Hierbei handelt es sich um eine Entscheidung der Europäischen Kommission, die Unternehmen, welche sich einem freiwilligen Selbstzertifizierungssystem unterwerfen, ein angemessenes Datenschutzniveau bescheinigt und damit auch Übermittlungen personenbezogener Daten an diese Unternehmen aus der Europäischen Union gestattet (zu Safe Harbor hatte ich bereits früher einmal gebloggt).

Die deutschen Behörden haben nach der Safe Harbor Entscheidung unter bestimmten Voraussetzungen die Befugnis, einzelne Datenübermittlungen in die USA zu untersagen, insbesondere wenn die Vorgaben der Entscheidung systematisch verletzt werden würden. Aus Sicht der deutschen Aufsichtsbehörden sind die Voraussetzungen derzeit erfüllt. Aus diesem Grund wurden in Berlin und Bremen auch entsprechende Verwaltungsverfahren eingeleitet, die konkrete und laufende Datenübermittlungen unterbinden sollen. Diese laufen gegenwärtig noch und sind nicht abgeschlossen.

Der Berliner Datenschutzbeauftragte, Dr. Dix, hat im Rahmen der Veranstaltung am 28. Januar 2015 in Berlin einen Vortrag zum gegenwärtigen Stand von Safe Harbor aus Sicht der Aufsichtsbehörden gehalten. Dieser Vortrag ist nun kostenlos abrufbar (PDF) und durchaus interessant zu lesen, auch wenn man freilich nicht jeder in dem Beitrag vertretenen Ansichten folgen muss.

Wie es mit Safe Harbor weitergeht, bleibt abzuwarten. Das Vorabentscheidungsersuchen des irischen High Court an den EuGH im Verfahren zwischen Max Schrems und der irischen Datenschutzbehörde, dürfte die nächste wichtige Wegmarke darstellen.

Europäische Datenschutzbehörden prüfen Cookie-Einsatz auf beliebten Webseiten

Insgesamt acht europäische Datenschutzaufsichtsbehörden haben 478 besonders beliebte Webseiten und den datenschutzgerechten Einsatz von Cookies auf diesen Internetseiten untersucht, das gab die Art. 29 Datenschutzgruppe heute in einer Pressemitteilung (PDF) bekannt.

Mit dem Ergebnis der Prüfung waren die beteiligten Datenschutzbehörden insoweit zufrieden, als dass Webseitenbetreiber grundsätzlich über den Einsatz von Cookies informierten. Jedoch kritisiert die Art. 29 Datenschutzgruppe, dass viele Webseiten eine sehr große Anzahl an Cookies einsetzen, dass die automatischen Löschdaten der Cookies oft übertrieben lang vordefiniert seien und dass der Inhalt der dargebotenen Informationen zur Aufklärung nicht immer zufriedenstellend war. Zudem würden viele der geprüften Webseiten keine wirksame Einwilligung in den Einsatz von Cookies einholen.

Insbesondere auf den zuletzt genannten Kritikpunkt, das Fehlen einer wirksamen Einwilligung der Webseitenbesucher, gehen die Datenschützer in ihrer Pressemitteilung näher ein. Nach Ansicht der Art. 29 Datenschutzgruppe ist eine solche Einwilligung aufgrund der Vorgaben der europäischen Richtlinie 2002/58/EG (sog. E-Privacy-Richtlinie und deren Art. 5 Abs. 3) nicht nur beim Einsatz von Cookies, sondern etwa auch bei Technologien die dem Browser-Fingerprinting erforderlich. Die Einwilligung muss nach diesem Art. 5 Abs. 3 immer dann eingeholt werden, wenn Informationen gespeichert werden oder auf Informationen zugegriffen wird, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind.

Die beteiligten Behörden behalten sich ausdrücklich Durchsetzungsmaßnahmen in ihren Mitgliedstaaten auf der Grundlage der Ergebnisse der Prüfung vor.

Deutsche Behörden waren laut der Pressemitteilung der Art. 29 Datenschutzgruppe nicht an der Prüfaktion beteiligt. Erst letzte Woche habe ich hier über eine Entschließung der deutschen Datenschutzbehörden berichtet, die den deutschen Gesetzgeber kritisieren und eine richtlinenkonforme Umsetzung der E-Privacy-Richtlinie in das deutsche Recht fordern. Ihrer Ansicht nach wird nämlich im deutschen Datenschutzrecht nicht klar geregelt, dass der Einsatz von Cookies die Einwilligung von Betroffenen erfordert.

IT-Sicherheitsgesetz: Bundesrat übt Kritik und sieht Gefahr der Vorratsdatenspeicherung

Im Dezember 2014 hat die Bundesregierung den Entwurf für das sog. IT-Sicherheitsgesetz beschlossen. Der Gesetzesentwurf (PDF) sieht vor allem Änderungen im BSI-Gesetz vor und möchte den Betreibern „kritischer Infrastrukturen“ gewisse Pflichten zum Schutz der informationstechnischen Systeme auferlegen. In diesem Zuge werden jedoch auch Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) geändert. Zu den möglichen Änderungen für Webseitenbetreiber hatte ich bereits einen Beitrag geschrieben.

Nun hat der für das IT-Sicherheitsgesetz im Bundesrat federführend zuständige Ausschuss für Innere Angelegenheiten seine Empfehlungen zu möglichen Anpassungen des Gesetzesentwurfs vorgelegt (PDF).

Präzisierung für mehr Rechtssicherheit
Laut der Beschlussempfehlung begrüßt der Bundesrat die „Initiative der Bundesregierung zur Verbesserung der IT-Sicherheit von Unternehmen und zum verstärkten Schutz der Bürgerinnen und Bürger im Internet“. Jedoch sieht die Empfehlung des Ausschusses auch vor, dass der Bundesrat im weiteren Gesetzgebungsverfahren dafür Sorge tragen soll, dass zur Schaffung von Planungs- und auch Rechtssicherheit eine weitere Konkretisierung von unbestimmten Rechtsbegriffen erfolgt. Laut der Empfehlung gilt dies vor allem für die Begriffe „Kritische Infrastrukturen“, die Definition der Meldeschwelle für Telekommunikationsunternehmen und den Begriff „Stand der Technik“. Gerade eine Einstufung als Betreiber einer kritischen Infrastruktur könne nämlich gravierend wirtschaftliche Folgen nach sich ziehen.

Regelungen zum Schutz der Meldedaten

Zudem sieht die Empfehlung vor, dass der Bundesrat darauf achten möge, „dass eindeutige und transparente Regelungen getroffen werden, die einen angemessenen Schutz und eine sinnvolle Verwendung der umfangreichen Datenmengen sicherstellen“, die das BSI aufgrund der vorgesehenen Meldepflicht erhält. Laut der vorgeschlagenen Begründung des Ausschusses zu seiner Empfehlung beantwortet der Gesetzentwurf nicht die Frage, wie das BSI mit diesen Datenmengen in Zukunft umgehen will.

Gefahr der Vorratsdatenspeicherung
Nach dem im Gesetzentwurf vorgeschlagenen § 100 Abs. 1 TKG-E sollen Telekommunikationsanbieter die gesetzliche Erlaubnis erhalten, Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots genutzten technischen Einrichtungen“ zu erheben und zu verwenden. Der federführende Ausschuss ist hier in seiner Empfehlung klar:

Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben.

(Hervorhebung durch mich)

Der Ausschuss erkennt in dieser Möglichkeit der Speicherung von Nutzungsdaten jedoch keine Verbesserung der Informationssicherheit. Vielmehr geht er davon aus, dass die Speicherung

zu einer weiteren Gefahrenquelle werden

könnte.

Neues Urteil des EuGH zur internationalen Zuständigkeit bei Urheberrechtsverletzungen im Internet

Mit Urteil vom 22. Januar 2015 (C-441/13) hat der Europäische Gerichtshof (EuGH) über die Auslegung von Art. 5 Abs. 3 der Verordnung 44/2001 (EuGVVO) zur internationalen Zuständigkeit von Gerichten bei Urheberrechtsverletzungen entschieden, dass im Fall der Geltendmachung einer Verletzung von Urheber? und verwandten Schutzrechten durch die Veröffentlichung von geschützten Lichtbildern auf einer Website, das Gericht zuständig ist, in dessen Bezirk diese Website zugänglich ist.

Sachverhalt
Frau Hejduk (die Klägerin des Ausgangsverfahrens), eine professionelle Architektur-Fotografin und Urheberin von Lichtbildwerken, hatte Bauten des österreichischen Architekten Georg W. Reinberg abgelichtet. Herr Reinberg soll im Rahmen einer von EnergieAgentur (ein deutsches Unternehmen; die Beklagte des Ausgangsverfahrens) veranstalteten Tagung diese Fotografien zur Illustration seiner Bauten verwendet haben, wozu er aufgrund einer Vereinbarung mit Frau Hejduk auch berechtigt war. EnergieAgentur soll jedoch anschließend diese Bilder ohne Zustimmung von Frau Hejduk und ohne Anführung einer Urheberbezeichnung auf ihrer Website (einer deutschen Homepage mit einer „.de“ Kennung) zum Abruf und Download bereitgehalten haben. Frau Hejduk verklagte das Unternehmen nun vor den österreichischen Gerichten, welche dem EuGH die Frage vorlegten, ob sie in dieser Situation überhaupt zuständig seien.

Entscheidung
Der EuGH stellt zunächst fest, dass Art. 5 Abs. 3 EuGVVO grundsätzlich eng auszulegen sei. Es handele sich um eine Ausnahme von dem in Art. 2 Abs. 1 EuGVVO aufgestellten Grundsatz, der die Zuständigkeit den Gerichten des Mitgliedstaats zuweist, in dessen Hoheitsgebiet der Beklagte seinen Wohnsitz hat. Danach führt das Gericht aus, dass nach seiner Rechtsprechung mit der Wendung „Ort, an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“ in Art. 5 Nr. 3 EuGVVO sowohl der Ort der Verwirklichung des Schadenserfolgs als auch der Ort des für den Schaden ursächlichen Geschehens gemeint ist. Im Ergebnis kann der Beklagte nach Wahl des Klägers vor dem Gericht eines dieser beiden Orte verklagt werden kann.

Daneben muss beachtet werden, dass Urheberrechte zwar einheitlich in Europa in allen Mitgliedstaaten zu schützen sind, dass sie jedoch dem sog. Territorialitätsprinzip unterliegen. Dies bedeutet, dass Urheberrechte in jedem der Mitgliedstaaten nach dem dort anwendbaren materiellen Recht verletzt werden.

Ort des für den Schaden ursächlichen Geschehens
Danach macht sich der EuGH an die genauere Auslegung von Art. 5 Abs. 3 EuGVVO. Zunächst befasst sich der Gerichtshof mit dem zweiten möglichen Anknüpfungspunkt einer gerichtlichen Zuständigkeit, dem Ort des für den Schaden ursächlichen Geschehens. Dieses ist in dem vorliegenden Fall jedoch für die Begründung der Zuständigkeit des österreichischen Gerichts nicht maßgeblich. Denn in einem Fall wie dem des Ausgangsverfahrens, in dem die Verletzung von Urheberrechten durch die ohne Zustimmung des Urhebers erfolgte Veröffentlichung von Lichtbildern auf einer bestimmten Website im Raum steht, ist als das entscheidende „ursächliche Geschehen“ das Auslösen des technischen Vorgangs anzusehen, der zum Erscheinen der Lichtbilder auf dieser Website führt. Der EuGH führt aus, dass eine etwaige Verletzung der Urheberrechte durch das Verhalten des Inhabers dieser Website ausgelöst wird. Hieraus folge, dass das ursächliche Geschehen am Sitz des Unternehmens eintritt (hier: Deutschland) und damit keine Zuständigkeit des angerufenen Gerichts begründet werden konnte.

Ort der Verwirklichung des Schadenserfolgs
Danach prüft das Gericht die zweite Alternative für eine internationale Zuständigkeit, ob nämlich das österreichische Gericht über eine Anknüpfung an die Verwirklichung des geltend gemachten Schadenserfolgs zuständig sein kann. Hierfür muss bestimmt werden, wann ein Schaden in einem anderen Mitgliedstaat als dem verwirklicht oder zu verwirklichen droht, in dem das deutsche Unternehmen die Entscheidung, die Fotografien auf seiner Website zu veröffentlichen, getroffen und durchgeführt hat. Die Klägerin machte geltend, dass ihre Urheberrechte durch die Veröffentlichung ihrer Lichtbilder auf der Website von EnergieAgentur verletzt worden seien.

Der EuGH bestätigt zunächst, dass die von Frau Hejduk geltend gemachten Rechte in Österreich geschützt sind. Das beklagte deutsche Unternehmen führte jedoch in Bezug auf die Gefahr, dass der Schadenserfolg in einem anderen Mitgliedstaat als dem seines Sitzes eintritt, aus, dass seine Website, auf der die streitigen Lichtbilder veröffentlicht worden seien und die unter einem nationalen deutschen Top-Level-Domain-Namen, d. h. „.de“, betrieben werde, nicht auf Österreich ausgerichtet sei, so dass der Schadenserfolg nicht in diesem Mitgliedstaat eingetreten sei.

Diesem Argument stellt sich der EuGH jedoch entgegen. Es ergebe sich aus der Rechtsprechung des Gerichtshofs, dass Art. 5 Nr. 3 EuGVVO nicht verlangt, dass die fragliche Website auf den Mitgliedstaat des angerufenen Gerichts „ausgerichtet“ ist.

Unter Umständen wie denen des Ausgangsverfahrens ergibt sich der Schadenserfolg bzw. die Gefahr seiner Verwirklichung somit daraus, dass die Lichtbilder, an denen die von Frau Hejduk geltend gemachten Rechte bestehen, über die Website von EnergieAgentur in dem Mitgliedstaat des vorlegenden Gerichts zugänglich sind.

(Hervorhebung durch mich)

Zuletzt stellt der Gerichtshof klar, dass das angerufene österreichische Gericht in Anknüpfung an den Ort der Verwirklichung des Schadenserfolgs nur für die Entscheidung über den Schaden zuständig ist, der im Hoheitsgebiet des Mitgliedstaats verursacht worden ist, zu dem es gehört.