Gesetzentwurf: Grüne wollen Schufa und Co. strenger regulieren

Die Fraktion BÜNDNIS 90/DIE GRÜNEN hat im Bundestag ein Gesetz zur „Verbesserung der Transparenz und der Bedingungen beim Scoring (Scoringänderungsgesetz, PDF)“ eingebracht. Mit diesem Gesetz zur Änderung verschiedener Vorgaben des Bundesdatenschutzgesetzes (BDSG) möchte die Fraktion laut der Gesetzesbegründung

„insbesondere die Transparenz des statistischen Analyseverfahrens beim Scoring“

grundlegend verbessern werden.

Die Ausgangslage
Der Gesetzesentwurf referenziert unter anderem auf eine Studie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der GP Forschungsgruppe aus dem Jahre 2014. Beeinflusst ist der Gesetzesentwurf freilich auch durch ein Urteil des Bundesgerichtshofs (BGH) aus dem Jahre 2014 (VI ZR 156/13), in dem es um den Auskunftsanspruch von Prsonen gegenüber der SCHUFA ging und das Gericht entschied, dass

die sogenannte Scoreformel, also die abstrakte Methode der Scorewert berechnung

der Auskunft suchenden Person nicht mitzuteilen ist. Ebenso wenig erstrecke sich der Auskunftsanspruch auf solche Inhalte der Scoreformel, die als Geschäftsgeheimnisse schützenswert sind.

Der Gesetzesentwurf
Nachfolgend möchte ich knapp auf einige Änderungsvorschlage des Gesetzesentwurfs eingehen.

Es soll eine generelle Pflicht der Vorabkontrolle beim Angebot von Scoringverfahren eingefügt werden (§ 4d Abs. 5 S. 2 BDSG-E). Diese Pflicht soll, anders als die bestehende Vorabkontrollverpflichtung, unabhängig davon bestehen, ob eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Zuständig für die Vorabkontrollen ist innerhalb von Unternehmen, wie auch jetzt, der Datenschutzbeauftragte.

Die Informationspflichten im Rahmen der Meldepflicht (und damit des Verfahrensverzeichnisses) sollen um einen neuen Punkt erweitert werden (§ 4e Abs. 1 Nr. 10 BDSG-E). Nach der Nr. 10 sollen im Fall des Scoring „eine Beschreibung des wissenschaftlich anerkannten mathematischstatistischen Verfahrens sowie Angaben zu § 28b Nummer 4“ erfolgen. Nach dem Gesetzesentwurf liegt der Zweck der Meldung darin, die eine Prüfung der Zulässigkeit der beabsichtigten Verfahren zu ermöglichen. Nicht erwähnt wird in dem Entwurf jedoch eine Anpassung von § 4g Abs. 2 S. 2 BDSG, wonach der Datenschutzbeauftragte nur die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar machen muss. Informationen zum anerkannten mathematischstatistischen Verfahren sollen also nicht im öffentlichen Verfahrensverzeichnis erwähnt werden.

Natürlich soll auch der § 28b BDSG geändert werden, der derzeit die Zulässigkeit von Scoring-Verfahren regelt. § 28 BDSG gibt vor, was zur Berechnung des Wahrscheinlichkeitswertes genutzt und nicht genutzt werden darf. Nach dem neuen § 28b Abs. 1 Nr. 4 BDSG-E darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn

für die Berechnung des Wahrscheinlichkeitswerts zum Zwecke der Bonität keine Anschriftendaten, Daten aus sozialen Netzwerken, Daten aus Internetforen, Angaben zur Staatsangehörigkeit, zum Geschlecht, zu einer Behinderung oder Daten nach § 3 Absatz 9 genutzt werden.

Explizit soll also eine Verwendung von besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) ebenso ausgeschlossen werden, wie ein Rückgriff auf Informationen aus „sozialen Netzwerken“ und „Internetforen“. Der Praktiker wird sich fragen: Was ist damit gemeint? Die Begründung definiert „Soziale Netzwerke“ und “Internetforen“ als

Plattformen, auf denen z.B. Kontakte, Meinungen, Interessen und das Einkaufsverhalten der betroffenen Personen mitgeteilt werden.

Plattformen auf denen Meinungen und Interessen mitgeteilt werden. Man möchte sich gar nicht ausmalen, was man (bei einer weiten Auslegung) alles hierunter fassen könnte.

Zudem soll eine neue § 28b Abs. 1 Nr. 5 BDSG-E eingefügt werden. Die Verwendung des Wahrscheinlichkeitswertes wird davon abhängig gemacht, dass

der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung seiner Daten schriftlich unterrichtet worden ist. Die Unterrichtung ist zu dokumentieren. Soll die Unterrichtung zusammen mit anderen Erklärungen erfolgen, ist sie besonders hervorzuheben.

Dies bedeutet: bevor überhaupt irgendeine Datenverarbeitung hinsichtlich des Wahrscheinlichkeitswertes beginnen kann, muss der Betroffene schriftlich(!) informiert werden. Dies soll auch innerhalb von AGB möglich sein, jedoch dann deutlich hervorgehoben. Hier grüßt meines Erachtens der Medienbruch. Denn in dem bisher geltenden § 28b Nr. 4 BDSG ist auch allein von „Unterrichtung“ die Rede. Schriftlich muss diese nicht erfolgen.

Zudem soll ein neuer § 28b Abs. 2 BDSG-E vorgeben, dass das wissenschaftlich anerkannte mathematisch-statistische Verfahren muss dem Stand der Wissenschaft und Forschung entsprechen muss. Wie genau dieser Stand aussieht, dies überlässt der Gesetzesentwurf der Bundesregierung, die hierzu durch eine Rechtsverordnung mit Zustimmung des Bundesrats Vorgaben machen kann.

Auch die Weite des Auskunftsanspruchs soll vergrößert werden. Nach dem neuen § 34 Abs. 2 S. 1 Nr. 2 BDSG-E ist Auskunft zu erteilen, über

die verwendeten Einzeldaten, die Gewichtung der verwendeten Daten, die verwendeten Vergleichsgruppen und die Zuordnung der betroffenen Personen zu den Vergleichsgruppen, die in die Berechnung des Wahrscheinlichkeitswerts einfließen.

Ein solcher Umfang des Auskunftsanspruches ist derzeit nicht vorgesehen.
U
nd noch eine weitere wichtige Änderung soll im Rahmen des Auskunftsanspruchs geregelt werden. § 34 Abs. 2 S. 2 BDSG-E sieht vor, dass der Zugang zu diesen Informationen nicht

unter Berufung auf das Betriebs- und Geschäftsgeheimnis abgelehnt werden“

kann. Diese Änderung referenziert direkt auf das oben erwähnte Urteil des BGH, mit dem die Verfasser des Gesetzentwurfs nicht einverstanden sind und folglich eine gesetzgeberische Anpassung vorschlagen. Interessant ist folgende Klarstellung in der Gesetzesbegründung:

Verlangt werden kann nicht die Offenlegung … des zugrunde liegenden Algorithmus.

Ein berechtigtes Geheimhaltungsinteresse der Unternehmen erkennt der Gesetzesentwurf nicht an. Auch ein unzulässiger Eingriff in das Grundrecht auf Berufsfreiheit in Art. 12 Abs. 1 GG der Scoring-Verwender lehnt die Gesetzesbegründung ab.

Der Gesetzesentwurf sieht noch weitere Änderungen vor. Unter anderem soll eine jährliche Auskunftspflicht (!) der Auskunfteien eingeführt werden.

Zudem soll eine Pflicht für die zuständigen Landesdatenschutzbehörden eingeführt werden, Unternehmen, die Scoring-Verfahren verwenden, mindestens einmal jährlich zu kontrollieren (§ 38 Abs. 1 S. 2 BDSG-E). Hierbei handelt es sich um eine „Sollpflichtprüfung“. Dies bedeutet, dass die Aufsichtsbehörden grundsätzlich prüfen müssen, es sei denn es liegen besondere Umstände vor. Bei der derzeitigen Ausstattung (finanziell als auch personell) der Behörden, darf man sich doch die Frage stellen, inwieweit eine solche Pflicht eventuell weite Teile einer Behörde binden und damit lähmen könnte. Denn eine Prüfung sollte wenn sie denn schon durchgeführt wird doch umfassend erfolgen und nicht etwa als eine Art „Feigenblatt“ dienen. Dies erfordert dann aber auch einigen Einsatz an Personal und Zeit.

Fazit
Es bleibt abzuwarten, inwieweit der vorliegende Gesetzesentwurf im Gesetzgebungsverfahren noch Änderungen erfahren wird und ob sich die Opposition hier gegenüber der Koalition durchsetzen kann. Zudem muss freilich auf die sich bereits abzeichnende Einigung bei der Datenschutz-Grundverordnung hingewiesen werden, die dann Gesetzesnormen schafft, die den hier entstehenden Regelungen grundsätzlich vorgehen.

Markenrecht: Schützt das Bankgeheimnis vor Ansprüchen des Rechteinhabers?

In Deutschland existiert kein (zumindest kein unmittelbar) gesetzlich festgeschriebenes Bankgeheimnis. Nach § 383 Abs. 1 Nr. 6 ZPO sind jedoch Bankinstitute unter Umständen berechtigt, in Zivilprozesse die Auskunft über bestimmt Informationen zu verweigern (den Bankinstituten steht ein Zeugnisverweigerungsrecht zu). Daher spricht man zumindest von einem „mittelbar“ existierenden Bankgeheimnis.
Doch wie verhält sich das Bankgeheimnis zu Rechtsansprüchen von Dritten, die diese gegenüber Kunden der Bank besitzen und durchsetzen möchten, dazu jedoch Gewissheit erlangen müssen, wer der Inhaber eines Bankkontos ist?

Einen solchen Fall hat der Bundesgerichtshof (BGH) im Jahre 2013 dem Europäischen Gerichtshof (EuGH) zur Beantwortung vorgelegt (Rechtssache C-580/13). Hierüber hatte der Kollege Thomas Stadler in seinem Blog berichtet.

Worum geht es: Der exklusive Lizenzinhaber einer Marke (an dem Parfum „Davidoff Hot Water“) kaufte auf einer Internetauktionsplattform einen gefälschten Parfumflakon. Den Preis hierfür zahlte der Lizenzinhaber auf ein Bankkonto bei einer Sparkasse ein. Nachdem der Inhaber des Verkäuferkontos angab, nicht den in Rede stehenden Verkauf getätigt zu haben, wandte sich der Lizenzinhaber an die Sparkasse, um zu erfahren, wer denn hinter dem Bankkonto steckt. Damit machte der Lizenzinhaber einen gesetzlich in § 19 Abs. 2 MarkenG festgeschriebenen Auskunftsanspruch geltend, der wiederum auf Art. 8 der europäischen Richtlinie 2004/48 (PDF) beruht. Die Sparkasse weigerte sich, mit Verweis auf § 383 Abs. 1 Nr. 6 ZPO, die Auskunft zu erteilen.

Das Urteil des EuGH steht noch aus, jedoch hat nun der zuständige Generalanwalt am EuGH seine Stellungnahme abgegeben und seine Entscheidungsempfehlung ausgesprochen. Kurz gesagt: die vorbehaltlose Verweigerung der Auskunftserteilung mit Verweis auf das Bankgeheimnis ist ohne eine gerichtliche Prüfung nicht mit EU-Recht vereinbar.

Art. 8 RL 2004/48 sieht vor, dass die Mitgliedstaaten sicherstellen müssen, „dass die zuständigen Gerichte im Zusammenhang mit einem Verfahren wegen Verletzung eines Rechts des geistigen Eigentums auf einen begründeten und die Verhältnismäßigkeit wahrenden Antrag des Klägers hin anordnen können, dass Auskünfte über den Ursprung und die Vertriebswege von Waren oder Dienstleistungen, die ein Recht des geistigen Eigentums verletzen, von dem Verletzer und/oder jeder anderen Person erteilt werden“. Diese Auskunft erstreckt sich auch auf Namen und Adresse der Vertreiber und Verkaufsstellen.

Nach Ansicht des Generalanwalts hat die Weigerung der Auskunftserteilung durch die Sparkasse die Einschränkung von zwei europäischen Grundrechten zur Folge: das Recht auf geistiges Eigentum (Art. 17 Abs. 2 der Charta der Grundrechte der Europäischen Union) und das Recht auf einen wirksamen Rechtsbehelf nach Art. 47 der Charta, welches gerade ein notwendiges Instrument zum Schutz des ersteren Grundrechts darstellt. Auf Seiten des Bankinstituts stehe hingegen das Recht der Bankkunden auf Schutz personenbezogener Daten (Art. 8 der Charta), welches die Bank durch das Bankgeheimnis zumindest mittelbar zu schätzen versuche.

Art. 52 Abs. 1 der Charta enthält die Voraussetzungen, unter denen die Einschränkung eines Grundrechts rechtmäßig erfolgen kann. Die Grundrechtseinschränkung muss gesetzlich vorgesehen sein, den Wesensgehalt der betroffenen Rechte und Freiheiten achten und schließlich geeignet und erforderlich sein, um die verfolgte Zielsetzung zu erreichen, sowie dem Grundsatz der Verhältnismäßigkeit entsprechen.

Art. 52 Abs. 1 der Charta bestimmt außerdem, dass die Grundrechtseinschränkung den „Wesensgehalt“ des oder der betroffenen Grundrechte achten muss. Hier bestehen für den Generalanwalt „die größten Zweifel“ vor allem hinsichtlich des Rechts des Lizenznehmers auf einen wirksamen Rechtsbehelf.

Die Wirksamkeit des Rechtsschutzes, den die Lizenznehmerin der verletzten Marke verlangt, scheint in Deutschland unter Umständen wie im vorliegenden Fall ausschließlich davon abzuhängen, dass das Bankinstitut, von dem die Auskunft begehrt wird und das vertraglich gegenüber seinen Kunden zur Verschwiegenheit verpflichtet ist, aus welchem Grund auch immer darauf verzichtet, vom Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO Gebrauch zu machen.

Des Weiteren prüft der Generalanwalt, ob es unter den Umständen des vorliegenden Falles geeignet, erforderlich und verhältnismäßig ist, den Lizenznehmer unter Hinweis auf das Bankgeheimnis die Ausübung seines Rechts auf einen wirksamen Rechtsbehelf zu versagen.

Von besonderer Bedeutung ist für den Generalanwalt die Frage, ob die Einschränkung der Grundrechte erforderlich ist. Die Einschränkung der Grundrechte sei hier nur dann erforderlich, wenn der verfolgte Zweck (Schutz der Kundendaten durch die Bank) nicht auch durch eine Maßnahme erreicht werden kann, die diese Rechte in geringerem Maß einschränkt. Insoweit müsse nach dem Generalanwalt geprüft werden, ob die Daten, die von der Sparkasse verlangt werden, möglicherweise auf einem anderen Weg oder aus einer anderen Quelle als über das Bankinstitut erlangt werden können. In jedem Fall müsse das nationale Gericht im Rahmen dieser Verhältnismäßigkeitsprüfung alle betroffenen Grundrechte berücksichtigen und in der Folge eine Abwägung kollidierender Grundrechte vornehmen.

Abmahnung bei Datenschutzverstößen: Bundesrat nimmt Stellung und will noch mehr (Update)

Am 4. Februar 2015 hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Ich berichtete hierzu im Blog. Im Rahmen des ordentlichen Gesetzgebungsverfahrens, hat sich nun auch der Bundesrat mit dem Gesetzesentwurf zu befassen und wird auf seiner nächsten Sitzung am 27. März 2015 über die eigenen Empfehlungen hierzu beraten.

Die Empfehlungen des federführenden Rechtsausschusses, des Ausschusses für Agrarpolitik und Verbraucherschutz, des Ausschuss für Innere Angelegenheiten und des Wirtschaftsausschusses wurden nun veröffentlicht (BR-Drs. 55/1/15, PDF) und bergen einige Überraschungen. Das Dokument enthält die Vorschläge jedes Ausschusses und es werden nicht alle dort aufgeführten Vorschläge in die finale Stellungnahme des Bundesrates aufgenommen, da sich die Vorschläge teilweise auch ausschließen. Dennoch möchte ich nachfolgend auf einige der Empfehlungen der Ausschüsse eingehen, gerade weil auch völlig neue Vorschläge gemacht werden.

Kein genereller Anspruch auf Beseitigung
Der Wirtschaftsausschuss gibt zu bedenken (Ziff. 5), dass bislang kein Bedarf für einen Beseitigungsanspruch im Unterlassungsklagengesetz (UKlag) gesehen wurde und dieser nun im Rahmen des Gesetzesentwurfs neu eingeführt werden soll. Sollte der Beseitigungsanspruch generell und nicht nur spezifisch für Verstöße gegen das Datenschutzrecht eingeführt werden, bestünde vielmehr die Gefahr, dass die Unternehmen in diesem Bereich weitgehenden Forderungen ausgesetzt werden, deren finanzieller und organisatorischer Aufwand in keinem Verhältnis zu der begangenen Verletzung des Verbraucherschutzes stünden.

Erweiterung des Verletzungstatbestandes in § 2 Abs. 2 S. 1 Nr. 11 UKlaG
Der Ausschuss für Agrarpolitik und Verbraucherschutz schlägt vor (Ziff. 6), den Wortlaut der vorgeschlagenen Nr. 11 auf jenen des ursprünglichen Referentenentwurfs zu ändern und damit zu erweitern. Es soll dann heißen:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Dem Ausschuss für Verbraucherschutz ist dabei ein Dorn im Auge, dass der Gesetzesentwurf der Bundesregierung den Anwendungsbereich der Nr. 11 grundsätzlich auf Vorschriften beschränkt, „welche die Zulässigkeit regeln“. Zur Begründung führt der Ausschuss aus, dass insbesondere Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung nach den §§ 33, 34 und 35 Bundesdatenschutzgesetz (BDSG) erfasst werden sollten. Auch die Beschränkung der vorgeschlagenen Nr. 11 auf Datenverarbeitungen zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken kritisiert der Ausschuss.

Im Ergebnis strebt man hier also erneut jene unbestimmte Ausweitung der Vorschrift an, die bereits nach Veröffentlichung des Referentenentwurfs kritisiert und im Gesetzesentwurf folgerichtig nicht übernommen wurde.

Dieser Vorschlag des Ausschusses für Verbraucherschutz konkurriert mit einem Vorschlag des Ausschuss für Wirtschaft (Ziff. 7), der darum bittet, im weiteren Gesetzgebungsverfahren zu prüfen, wie die datenschutzrechtlichen Vorschriften, die für eine Verbandsklage in Betracht kommen sollen, konkretisiert und weiter eingegrenzt werden können. Der im Gesetzesentwurf verwendete Begriff der “vergleichbaren kommerziellen Zwecke” erscheint nämlich zu weitgehend. Denn haben Unternehmen Kontakt mit Verbrauchern, ist eigentlich per se von einer kommerziellen Verarbeitung von Daten auszugehen. Wäre dann also praktisch jede Datenverarbeitung eines Unternehmens mit Bezug zu einem Verbraucher eine solche für „vergleichbare kommerzielle Zwecke“? Der Anwendungsbereich ist für den Wirtschaftsausschuss damit unklar und stellt für die Unternehmen eine Rechtsunsicherheit dar.

Gefahr paralleler Rechtstreitigkeiten durch Verbraucherverbände und Datenschutzbehörden
Der Innen- als auch der Wirtschaftsausschuss (Ziff. 11) möchten im weiteren Gesetzgebungsverfahren die Pflicht für Gerichte zur Anhörung der zuständigen Datenschutzbehörde um eine Verpflichtung der anspruchsberechtigten Stellen ergänzen. Danach soll die zuständige Datenschutzaufsichtsbehörde bereits vor außergerichtlicher Geltendmachung oder vor Klageerhebung unterrichtet und angehört werden. Die Datenschutzbehörden besitzen schließ0lich auch einen gesetzlichen Beratungsauftrag, auch für Unternehmen (§ 38 Abs. 1 S. 2 BDSG). Dieser Beratungsauftrag sowie das Vertrauen von Unternehmen in die Verbindlichkeit von Aussagen der Datenschutzaufsichtsbehörden würden nach Ansicht der beiden Ausschüsse erheblich geschwächt, wenn Aufsichtsbehörden bei ihrer Beratungstätigkeit keine Kenntnis von etwaigen durch die Verbände eingeleiteten, gleich gelagerten Parallelverfahren hätten.

Neu: Einführung eines allgemeinen Koppelungsverbots im BDSG
Sowohl der Rechtsausschuss als auch der Innenausschuss (Ziff. 12) schlagen völlig unabhängig von dem ursprünglichen Gesetzesentwurf eine Anpassung des § 28 Abs. 3b BDSG vor. Es soll ein allgemeines Koppelungsverbots im Datenschutzrecht eingeführt werden. Derzeit sieht § 28 Abs. 3b BDSG noch vor, dass die verantwortliche Stelle den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen abhängig machen darf, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Der letzte Teil des Satzes soll nun jedoch gestrichen werden: „Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen.”

Die mit diesem Vorschlag für die Einführung eines allgemeinen Koppelungsverbots verbundene Einschränkung der Vertragsgestaltungsfreiheit der Unternehmen erscheint für die Ausschüsse gerechtfertigt. Der Vorschlag zur entsprechenden Anpassung des BDSG ist jedoch nicht neu. Bereits im Rahmen der letzten BDSG-Novelle wurde ein solches allgemeines Kopplungsverbot durch den Bundesrat vorgeschlagen (BR-Drs. 4/09), jedoch am Ende nicht in das Gesetz aufgenommen.

Neu: Auskunftsrecht für Betroffene von Persönlichkeitsrechtsverletzungen
Der Rechtsausschuss schlägt zudem apart von den Anpassungen des Gesetzesentwurfs vor (Ziff. 15), dass im weiteren Gesetzgebungsverfahren geprüft werden möge, ob zur Umsetzung der Rechtsprechung des Bundesgerichtshofs (BGH) vom 1. Juli 2014 (Az. VI ZR 345/13) eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Persönlichkeitsrechtsverletzers erlangen kann. Der BGH hatte in diesem Urteil entschieden, dass ein Geschädigter mangels datenschutzrechtlicher Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG keinen Anspruch gegenüber einem Online-Bewertungsportal auf Auskunft über Namen und Anschrift desjenigen Nutzers habe, der in dem Portal unwahre und damit unzulässige Tatsachenbehauptungen über ihn aufstellt (hierzu der Kollege Thomas Stadler in seinem Blog). Der Portalbetreiber als Dienstanbieter i. S. d. TMG ist nach der Rechtsprechung daher nicht befugt, ohne die Einwilligung des Nutzers Auskünfte über dessen personenbezogene Daten zu erteilen. Für den Rechtsausschuss ist das Fehlen des Auskunftsanspruchs bedenklich und stellt eine Regelungslücke dar, welche durch den Gesetzgeber geschlossen werden muss.

Fazit
Die Ausschüsse im Bundesrat scheinen den Gesetzesentwurf genutzt zu haben, um nicht nur an dem Entwurf selbst inhaltlich Anpassungen vorzuschlagen, sondern auch noch weitere datenschutzrechtliche Themen, die eventuell schon etwas länger auf der gesetzgeberischen To-Do-Liste stehen, in das Gesetzgebungsverfahren einzuführen. Ob ein solches Vorgehen, unabhängig von der inhaltlichen Diskussion, in jeder Hinsicht begrüßenswert erscheint, mag man positiv oder negativ beantworten. Innenminister de Maizère hat erst letzte Woche angekündigt, dass man die Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) bis Juni im Rat abschließen möchte, um dann die Verhandlungen mit dem Parlament und der Kommission aufzunehmen. Wenn dann etwa im Jahre 2015 die Datenschutz-Grundverordnung verbindliches Recht in Europa wird, so müssen sich deutsche Regelungen zum Datenschutz an diesen Vorgaben messen lassen und werden aufgrund des Vorrangs des EU-Rechts im Zweifel unwirksam sein. Auch in der DS-GVO soll es etwa Vorgaben für ein Verbandsklagerecht von Verbraucherorganisationen geben. Die genauen Voraussetzungen und die Reichweite des Klagerechts ist derzeit aber noch umstritten. Bestehende deutsche Regelungen, die nun auf die schnelle noch ins Gesetz gegossen werden, würden dann jedoch ihre Wirksamkeit verlieren. Man würde also gesetzliche Vorgaben mit bereits jetzt bekannter Haltbarkeit schaffen. Der Sinn hinter einem solchen Vorgehen erschließt sich mir nicht unbedingt.

Update vom 27.3.2015:
Heute hat der Bundesrat über die oben erwähnten Ausschussempfehlungen abgestimmt. In der angenommenen Stellungnahme des Bundesrates (BR-Drs. 55/15(B)) sind die von mir oben angesprochenen Änderungswünsche, insbesondere die “Rückkehr” zum Referentenentuwrf, das Kopplungsverbot und der Vorschlag zur Einführung eines Auskunftsanspruchs im TMG, enthalten. Es bleibt abzuwarten, wie und ob die vom Bundesrat vorgeschlagenen Änderungen im weiteren Gesetzgebungsverfahren Bestand haben werden.

IT-Sicherheitsgesetz: Bundesrat übt Kritik und sieht Gefahr der Vorratsdatenspeicherung

Im Dezember 2014 hat die Bundesregierung den Entwurf für das sog. IT-Sicherheitsgesetz beschlossen. Der Gesetzesentwurf (PDF) sieht vor allem Änderungen im BSI-Gesetz vor und möchte den Betreibern „kritischer Infrastrukturen“ gewisse Pflichten zum Schutz der informationstechnischen Systeme auferlegen. In diesem Zuge werden jedoch auch Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) geändert. Zu den möglichen Änderungen für Webseitenbetreiber hatte ich bereits einen Beitrag geschrieben.

Nun hat der für das IT-Sicherheitsgesetz im Bundesrat federführend zuständige Ausschuss für Innere Angelegenheiten seine Empfehlungen zu möglichen Anpassungen des Gesetzesentwurfs vorgelegt (PDF).

Präzisierung für mehr Rechtssicherheit
Laut der Beschlussempfehlung begrüßt der Bundesrat die „Initiative der Bundesregierung zur Verbesserung der IT-Sicherheit von Unternehmen und zum verstärkten Schutz der Bürgerinnen und Bürger im Internet“. Jedoch sieht die Empfehlung des Ausschusses auch vor, dass der Bundesrat im weiteren Gesetzgebungsverfahren dafür Sorge tragen soll, dass zur Schaffung von Planungs- und auch Rechtssicherheit eine weitere Konkretisierung von unbestimmten Rechtsbegriffen erfolgt. Laut der Empfehlung gilt dies vor allem für die Begriffe „Kritische Infrastrukturen“, die Definition der Meldeschwelle für Telekommunikationsunternehmen und den Begriff „Stand der Technik“. Gerade eine Einstufung als Betreiber einer kritischen Infrastruktur könne nämlich gravierend wirtschaftliche Folgen nach sich ziehen.

Regelungen zum Schutz der Meldedaten

Zudem sieht die Empfehlung vor, dass der Bundesrat darauf achten möge, „dass eindeutige und transparente Regelungen getroffen werden, die einen angemessenen Schutz und eine sinnvolle Verwendung der umfangreichen Datenmengen sicherstellen“, die das BSI aufgrund der vorgesehenen Meldepflicht erhält. Laut der vorgeschlagenen Begründung des Ausschusses zu seiner Empfehlung beantwortet der Gesetzentwurf nicht die Frage, wie das BSI mit diesen Datenmengen in Zukunft umgehen will.

Gefahr der Vorratsdatenspeicherung
Nach dem im Gesetzentwurf vorgeschlagenen § 100 Abs. 1 TKG-E sollen Telekommunikationsanbieter die gesetzliche Erlaubnis erhalten, Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots genutzten technischen Einrichtungen“ zu erheben und zu verwenden. Der federführende Ausschuss ist hier in seiner Empfehlung klar:

Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben.

(Hervorhebung durch mich)

Der Ausschuss erkennt in dieser Möglichkeit der Speicherung von Nutzungsdaten jedoch keine Verbesserung der Informationssicherheit. Vielmehr geht er davon aus, dass die Speicherung

zu einer weiteren Gefahrenquelle werden

könnte.

IT-Sicherheitsgesetz: Telemedienanbieter dürfen anlasslos speichern

Heute wurde der Referentenentwurf des Bundesinnenministeriums für ein IT-Sicherheitsgesetz (IT-SG) veröffentlicht (PDF). Viele der dort beschriebenen Änderungen beziehen sich auf das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Jedoch sollen auch Änderungen am Telemediengesetz (TMG) vorgenommen werden. Eine dieser Änderungen betrifft die anlasslose Erhebung und Speicherung von Nutzungsdaten. Hierzu soll ein neuer § 15 Abs. 9 TMG-E (S. 18) eingefügt werden.

Hier der Wortlaut:

(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 gilt entsprechend.

Dieser Vorschlag ist nicht neu. Bereits im Jahre 2009 sah der Gesetzentwurf für ein Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BT Drs. 16/11967, PDF) die Ergänzung des TMG um eine identische Regelung vor. Damals wurde die Gesetzesänderung jedoch am Ende nicht vorgenommen. Der Grund: die Eilbedürftigkeit der übrigen Regelungen des Gesetzesentwurfs (so die Beschlussempfehlung und der Bericht des Innenausschusses, BT Drs. 16/13259, PDF).

Nun soll die bereits 2009 anvisierte Änderung doch kommen. Und das ist grundsätzlich auch zu begrüßen. Sinn und Zweck der neuen Vorschrift ist es laut der Begründung zum IT-SG, dass Diensteanbieter die Möglichkeit haben müssen, eine Infektion der von ihnen angebotenen Telemedien mit Schadprogrammen zu erkennen, um entsprechende Schutzmaßnahmen ergreifen zu können (S. 51). Telemediendiensteanbieter sollen in die Lage versetzt werden, rechtmäßig für den Zweck Daten erheben und verwenden zu können, um Angriffe (Denial of Service, Schadprogramme, Veränderung ihrer Werbeangebote von außerhalb) abwehren zu können.

Inhaltlich bezieht sich die geplante Regelung auf Nutzungsdaten (definiert in § 15 Abs. 1 TMG). Hierzu gehören insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Umfasst hiervon ist z. B. auch die IP-Adresse (sei es nun eine solche, die dynamisch oder statisch vergeben wird).

Erlaubt soll die Erhebung und Verwendung der Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen der genutzten technischen Einrichtungen sein. Die Begründung des Referentenentwurfs gibt auch vor, was aus gesetzgeberischer Sicht auf jeden Fall erforderlich ist: die Erhebung und kurzfristige Speicherung und Auswertung der Nutzungsdaten.

Die Erlaubnis des neuen § 15 Abs. 9 TMG-E bezieht sich unter anderem auf das „Erkennen“ von Störungen. Die Erhebung und Verwendung der Daten ist daher nicht erst erlaubt, wenn ein Angriff stattgefunden hat und seine Auswirkungen eintreten. Bereits zum Erkennen von Störungen, also proaktiv, soll die Speicherung der Nutzungsdaten erlaubt sein. Die Gesetzesbegründung des IT-SG trennt ausdrücklich zwischen dem „Erkennen“ und einer nachfolgenden „Abwehr“ von Angriffen. Für die Erlaubnis, bereits proaktiv Nutzungsdaten speichern zu können, spricht auch der Verweis in der Gesetzesbegründung auf § 100 Abs. 1 TKG. Zu dieser Vorschrift hat der BGH erst kürzlich entschieden, dass gegen eine proaktive Speicherung von (dort: dynamischen) IP-Adressen durch Telekommunikationsanbieter für eine Woche keine Bedenken bestehen (vgl. die Meldung bei Heise). Auch im TKG spricht das Gesetz, wie nun in der vorgeschlagenen Anpassung des TMG, vom „Erkennen“ von Störungen oder Fehlern.

Die Frage, welche sich freilich zwangsläufig stellen wird, ist diejenige nach der erlaubten Dauer der Speicherung. Die Gesetzesbegründung spricht von „kurzfristig“, ohne konkretere Vorgaben zu machen. Durch den vorgenommenen Verweis auf § 100 Abs. 1 TKG wird eine einwöchige Speicherung vor dem Hintergrund der aktuellen Rechtsprechung sicherlich erlaubt sein. Der Begriff „kurzfristig“ ist aber meines Erachtens nicht auf diese eine Woche beschränkt. Auch eine längere Speicherung erscheint durchaus möglich. Gerade wenn man sich vor Augen führt, dass die Speicherung grundsätzlich unter der Bedingung der Erforderlichkeit steht. Was jedoch erforderlich ist, um einen Angriff zu erkennen oder abzuwehren, wird sich kaum pauschal für alle Situationen festlegen lassen. Es erscheint daher durchaus möglich, dass die „kurzfristige“ Speicherung auch mehr als eine Woche umfasst.

Die vorgeschlagene Regelung ist nach meinem Dafürhalten richtig und wichtig. Kritiker werden sicher bemängeln, dass auf diesem Wege zumindest eine kleine Vorratsdatenspeicherung im TMG Einzug erhält. Auch hier lässt sich jedoch auf die Argumentation des Bundesgerichtshofs im oben benannten Urteil verweisen. Die Zwecke, warum Daten gespeichert und für welche Zwecke sie genutzt werden dürfen, sind in dem Gesetz aber klar umrissen. Es geht nicht um eine Speicherung für eine spätere Verwendung durch Sicherheitsbehörden. Natürlich lässt sich nicht ausschließen, dass dennoch ein Zugriff in Einzelfällen stattfinden könnte. Die Möglichkeit des Zugriffs wird aber nicht durch das IT-SG geschaffen, sondern durch die gesetzlichen Grundlagen für die Arbeit der Sicherheitsbehörden. Wenn man diese Befugnisse ablehnt, muss man dort ansetzen. Die im IT-SG vorgeschlagene Regelung hat den berechtigten Schutz der Telemediendienste (bzw. den von ihnen genutzten technischen Einrichtungen) und damit auch den Schutz der Nutzer und ihrer Daten im Sinn.

Referentenentwurf des BMJV: Klagemöglichkeiten für Verbände bei Datenschutzrechtsverstößen

Nach den Ankündigungen von Bundesjustizminister Heiko Maas Anfang diesen Jahres, Verbraucherschutzverbänden eine Klagemöglichkeit bei Datenschutzrechtsverletzungen durch Unternehmen zur Verfügung stellen zu wollen, liegt nun der Referentenentwurf aus dem BMJV vor.

Durch den Entwurf soll jedoch nicht nur das Unterlassungsklagegesetz (UKlaG) angepasst werden. Auch Änderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) und des Bürgerlichen Gesetzbuches (BGB) sind in dem Entwurf vorgesehen. Im Folgenden möchte ich eine erste grobe Einschätzung der geplanten Änderungen vornehmen.

Ziel des Gesetzes
Nach der Entwurfsbegründung soll insbesondere der Schutz von Verbrauchern gegen die unzulässige Erhebung, Verarbeitung und Nutzung ihrer Daten verbessert werden. Dabei nutzen laut dem Entwurf die besten datenschutzrechtlichen Regelungen wenig, wenn sie nicht wirksam durchgesetzt werden können. Zwar existieren die (Landes-)Datenschutzbehörden, die auch über entsprechende Kontroll- und Durchsetzungsbefugnisse verfügen. Nach dem Entwurf scheide eine flächendeckende Kontrolle aber schon aufgrund der Zahl der Unternehmer und des stetig zunehmenden Umfangs ihrer Datenerhebung, -verarbeitung und -nutzung aus. Dass man hier eventuell die Mittel und Kapazitäten der Datenschutzbehörden stärken könnte, wird anscheinend im BMJV nicht in Erwägung gezogen. Vielleicht auch deshalb, weil man hierfür nicht zuständig ist und die Länder diese Aufstockung vornehmen müssten. Zum besseren Schutz der Rechte der Verbraucher sollen deswegen laut dem Entwurf künftig neben den betroffenen Verbrauchern und den Datenschutzaufsichtsbehörden auch Verbände und (Berufs-)Kammern gegen die unzulässige Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten durch Unternehmer vorgehen können.

Derzeit können Verbraucherschutzverbände gegen, aus ihrer Sicht rechtswidrige Datenverarbeitungen durch Unternehmen nur über den Umweg des § 1 UKlaG vorgehen, wenn nämlich etwa Datenschutzerklärungen als Allgemeine Geschäftsbedingungen (AGB) qualifiziert werden. Dies soll sich nach dem Entwurf nun ändern. Die Entwurfsbegründung stellt hierzu fest, dass Rechte von Verbrauchern nicht nur beeinträchtigt werden, wenn ein Unternehmer durch das Verwenden von AGB datenschutzrechtlichen Vorschriften zuwiderhandelt,

sondern auch wenn der Unternehmer auf andere Weise gegen datenschutzrechtliche Vorschriften verstößt, wenn er Daten von Verbrauchern erhebt, verarbeitet oder nutzt.

Änderungen des UKlaG
§ 2 Abs. 1 S. 1 UKlaG
Der geltende § 2 Abs. 1 S. 1 UKlaG bestimmt, dass derjenige, der in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung in Anspruch genommen werden.

Die erste bedeutende Änderung des Entwurfs soll dadurch vorgenommen werden, dass in Zukunft auch im UKlaG Beseitigungsansprüche geltend gemacht werden können. Der Entwurf begründet dies damit, dass es auch möglich sein müsse, einen Unternehmer auch (neben einer Unterlassung für die Zukunft) dazu zu verpflichten, unzulässig gespeicherte Daten von Verbrauchern zu löschen oder zu sperren. § 2 Abs. 1 S. 1 UKlaG würde danach wie folgt lauten:

Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. (Hervorhebung durch den Autor)

§ 2 Abs. 2 Nr. 11 UKlaG
In der Aufzählung des § 2 Abs. 2 UKlaG, der festlegt, welche gesetzlichen Regelungen Verbraucherschutzgesetze darstellen, soll eine neue Nr. 11 aufgenommen werden. Zu beachten ist, dass die Aufzählung in Abs. 2 nicht abschließend ist. Dies folgt aus dem Wort „insbesondere“ am Anfang der Aufzählung. Die neue Nr. 11 soll wie folgt lauten:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Nach dem Gesetzesentwurf ist derzeit in Literatur und Rechtsprechung umstritten, ob datenschutzrechtliche Vorschriften Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 S. 1 UKlaG darstellen. Diese Streitfrage soll nun „verbindlich beantwortet“ werden und zwar indem „datenschutzrechtliche Vorschriften, die für Unternehmer gelten, wenn sie Daten von Verbrauchern erheben, verarbeiten oder nutzen, ausdrücklich in den Katalog der Verbraucherschutzgesetze aufgenommen werden“. Die Begründung des Entwurfs führt hierzu aus, dass dies solche Vorschriften sind, welche auf

die Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten anwendbar sein. Dies sind sowohl Vorschriften, die ausdrücklich den Umgang mit Verbraucherdaten regeln, als auch Vorschriften, die – wie z. B. die Vorschriften im Bundesdatenschutzgesetz, den Landesdatenschutzgesetzen, dem Telekommunikationsgesetz oder dem Telemediengesetz – nicht nur für den Umgang mit personenbezogenen Daten von Verbrauchern gelten, sondern auch für den Umgang mit anderen personenbezogenen Daten.

Der Anwendungsbereich umfasst damit im Prinzip jegliche Datenschutzvorschrift. Voraussetzung für ein Vorgehen nach den geplanten Regelungen ist allein, dass personenbezogene Daten von Verbrauchern betroffen sind und ein Unternehmer beteiligt ist. Dass unter anderem sogar der BGH (Urt. v. 16.07.2008 – VIII ZR 348/06, Rz. 17) der Meinung war, dass z. B. § 4 Abs. 1 BDSG nicht als Verbraucherschutzgesetz im Sinne von § 2 UKlaG angesehen wird, weil die Vorschrift alle natürlichen Personen, aber nicht speziell Verbraucher schütze, wird in dem Gesetzesentwurf nicht thematisiert (ebenfalls ablehnend, etwa für § 28 Abs. 4 BDSG: OLG Düsseldorf, Az. I-7 U 149/03; für §§ 3a, 4 BDSG: OLG Frankfurt a. M., Az. 6 U 168/04). Schutzgegenstand des Datenschutzrechts sind „personenbezogene Daten“. Diese können in bestimmten Situationen Verbraucher betreffen (so auch die Art. 29 Datenschutzgruppe, Stellungnahme WP 136, PDF, S. 7), jedoch nicht generell.

Kritik
Meines Erachtens ist jedoch fraglich, ob der deutsche Gesetzgeber einfach bestimmen kann, was „Verbraucherschutzgesetze“ im deutschen Recht sind, zumindest wenn diese nationalen Gesetze auf europäischen Grundlagen beruhen und eventuell durch den europäischen Gesetzgeber entsprechend eingeordnet wurden.

DS-RL verbraucherschützend?
Ein Großteil der derzeit geltenden Datenschutzvorschriften, etwa im BDSG (beruht auf Bestimmungen der RL 1995/46/EG, DS-RL) oder im TMG (beruht auf Bestimmungen der RL 2000/31/EG und RL 2002/58/EG in der geänderter Fassung durch RL 2009/136/EG, PDF), beruht auf europäischen Richtlinien.

RL 2009/22/EG (PDF) über Unterlassungsklagen zum Schutz der Verbraucherinteressen, gibt einen ersten Anhaltspunkt, warum sich der durch den Gesetzentwurf geplante pauschale Verweis auf „Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten“ möglicherweise nicht als europarechtskonform darstellen könnte. Ziel der benannten Richtlinie ist laut ihrem Art. 1 Abs. 1, die Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über Unterlassungsklagen im Sinne des Art. 2 der Richtlinie zum Schutz der Kollektivinteressen der Verbraucher, die unter die in Anhang I der Richtlinie aufgeführten europäischen Richtlinien fallen, um so das reibungslose Funktionieren des Binnenmarkts zu gewährleisten. Und in diesem Anhang I findet sich eine Auflistung von vielen verschiedenen Richtlinien, die sich dann auch in der Aufzählung des § 2 Abs. 2 UKlaG wiederfinden (z. B. RL 2000/31/EG).

Das Problem: die DS-RL wird hier nicht benannt. Man könnte meinen, dass dies eigentlich unverständlich ist, da nach Erwägungsgrund 8 DS-RL zur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich ist, welches durch die DS-RL geschaffen werden soll. Es geht also bei den Regelungen der DS-RL gerade auch um das Funktionieren des Binnenmarktes.

Doch anscheinend erkannte der europäische Gesetzgeber die DS-RL eben gerade nicht als eine solche Richtlinie an, die dem Schutz der Kollektivinteressen der Verbraucher dient. Eine Aufnahme in die Liste des Anhangs I hätte im Übrigen auch in der Vergangenheit erfolgen können, da die RL 2009/22/EG auf einer alten Richtlinie (RL 98/27/EG) beruht, die mehrfach angepasst wurde.

Ein weiteres Argument dafür, dass die DS-RL (und damit auch deren nationale Umsetzung im BDSG) grundsätzlich nicht verbraucherschützend wirkt, könnte sich aus der Verordnung 2006/2004/EG, der Verordnung über die Zusammenarbeit im Verbraucherschutz, ergeben. In der Verordnung geht es um die Zusammenarbeit der zuständigen Durchsetzungsbehörden in den Mitgliedstaaten bei innergemeinschaftlichen Verstößen gegen Gesetze zum Schutz der Verbraucherinteressen. In Art. 3 a) definiert die Verordnung die „Gesetze zum Schutz der Verbraucherinteressen“ als „die im Anhang aufgeführten Richtlinien in der in die innerstaatliche Rechtsordnung der Mitgliedstaaten umgesetzten Form und die dort aufgeführten Verordnungen“. Und auch hier stellt man fest: die DS-RL wird nicht in der Aufzählung im Anhang erwähnt, sehr wohl aber etwa wieder RL 2000/31/EG.

Diese fehlende Berücksichtigung der DS-RL in beiden europäischen Rechtsakten stellt zumindest ein starkes Indiz dafür dar, dass der europäische Gesetzgeber die DS-RL nicht (zumindest nicht generell) als verbraucherschützend qualifizieren wollte. Anhaltspunkte für einen intendierten Verbraucherschutz finden sich auch nicht in der DS-RL oder ihren Erwägungsgründen selbst.

Schutzgegenstand der DS-RL ist ausweislich ihres Art. 1 Abs. 1 die Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten, nicht der Schutz von Verbrauchern oder ähnlichen besonderen Personengruppen. Anknüpfungspunkt des Datenschutzrechts ist allein die natürliche Person. Natürlich mag diese in gewissen Situationen als Verbraucher handeln. Für diese Situationen ist das Datenschutzrecht aber nicht generell konzipiert worden.

Neue Datenschutzbehörden?
Zudem wird sich nach dem Studium des Referentenentwurfs unweigerlich die Frage nach dem Verhältnis von Verbraucherschutzverbänden zu den staatlichen Datenschutzbehörden stellen. Denn Verbraucherschutzverbände sollen nun rechtliche Möglichkeiten erlangen, die bisher allein dem Betroffenen selbst und den Datenschutzbehörden zustehen. Denn nun können Verbraucherschutzverbände auch gerichtlich gegen Unternehmen vorgehen, wenn es sich nicht um die Überprüfung von Allgemeinen Geschäftsbedingungen, sondern tatsächlich allein um die Rechtmäßigkeit der Datenverarbeitung an sich handelt. Der Entwurf führt hierzu aus: „Die Verbraucherschutzverbände und die anderen anspruchsberechtigten Stellen sollen künftig nicht nur Ansprüche auf Unterlassung und Widerruf nach § 1 UKlaG haben, wenn durch das Verwenden und Empfehlen von Allgemeinen Geschäftsbedingungen gegen datenschutzrechtliche Vorschriften verstoßen wird.

Auch hier stellen sich für mich Fragen der Vereinbarkeit des Entwurfs mit dem Europarecht.

Art. 28 DS-RL bestimmt, dass die Mitgliedstaaten vorsehen müssen, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Zudem müssen diese Stellen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen.
Dabei darf man wohl davon ausgehen, dass der Gesetzesentwurf prinzipiell keine neuen Kontrollstellen schaffen möchte. Oder doch? Der EuGH hat zumindest festgestellt (Az. C-288/12, Rz. 47), dass ein Erfordernis dafür besteht, „die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch eine unabhängige Stelle zu überwachen“. Dies ergibt sich unter anderem aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF). Die entscheidende Frage ist nun, ob allein(!) diese unabhängigen und öffentlichen Stellen zur Überwachung der Einhaltung der jeweiligen nationalen Vorschriften zum Schutz personenbezogener Daten berechtigt sind? In einem anderen Urteil hat der EuGH (Az. C-518/07, Rz. 23) festgestellt, dass die in Art. 28 DS-RL vorgesehenen Kontrollstellen „die Hüter“ der Grundrechte und Grundfreiheiten aus Art. 7 und 8 EU-Charta darstellen. Ob daneben noch Platz für andere Stellen ist, die ebenfalls die Einhaltung der datenschutzrechtlichen Vorschriften überwachen dürfen?

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.
Doch haben Betroffene nach Art. 22 DS-RL auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der DS-RL aber gerade nicht aufgeführt, anders als in Art. 28 Abs. 4 DS-RL. Jedoch würde der vorliegende Referentenentwurf gerade eine solche Möglichkeit, bei einem Gericht einen Rechtsbehelf einzulegen, für Verbände vorsehen.

§ 3 Abs. 1 UWG
Beseitigungs- und Unterlassungsansprüche sollen entsprechend § 8 Abs. 1 UWG zudem möglich sein, wenn durch eine rechtswidrige Datenverarbeitung eine unlautere geschäftliche Handlungen i. S. d. § 3 Abs. 1 UWG begangen wird. Nach § 4 Nr. 11 UWG handelt unlauter wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Nach dem Gesetzesentwurf können auch datenschutzrechtliche Vorschriften nämlich gesetzliche Vorschriften sein, die dazu bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Hier verweist der Entwurf auf einzelne Gerichtsentscheidungen, wonach insbesondere in Bezug auf § 28 BDSG in Verbindung mit §§ 4 Abs. 1, 4a Abs. 1 BDSG festgestellt wurde, dass diese Regelungen als eine solche Marktverhaltensvorschrift angesehen werden können.

Eine generelle Festschreibung, dass es sich bei datenschutzrechtlichen Vorschriften um solche handelt, welche im Interesse der Marktteilnehmer das Marktverhalten regeln, trifft der Entwurf jedoch nicht. Dies erscheint auch richtig. Derzeit wird wohl überwiegend davon ausgegangen, dass datenschutzrechtliche Vorschriften nicht generell eine marktregelnde Funktion besitzen. Ausnahmen werden vor allem dann (in konkreten Einzelfällen!) gemacht, wenn es sich um Situationen der kommerziellen Nutzung von personenbezogenen Daten handelt, vor allem für Werbung (siehe etwa OLG Köln, Az. 6 U 73/10; OLG Stuttgart, Az. 2 U 132/06; OLG Karlsruhe, Az. 6 U 38/11).

In dem Referentenentwurf wird ausdrücklich klargestellt, dass in Zukunft Ansprüche nach dem UKlaG anders als die Ansprüche nach dem UWG, auch dann gegeben sind, wenn gegen eine datenschutzrechtliche Vorschrift verstoßen wird, die keine Marktverhaltensvorschrift ist. Diese Voraussetzung muss i. R. d. UKlaG nicht gegeben sein.

Weitere Änderungen
Um einem Missbrauch der Unterlassungs- und Beseitigungsansprüche des UKlaG besser vorbeugen zu können, soll die bisher in § 2 Abs. 3 UKlaG befindliche Regelung erneuert und in einen § 2b UKlaG transformiert werden. Zum einen soll die Missbrauchsregelung auch für Ansprüche nach § 1 UKlaG (also bei der Verwendung von unwirksamen AGB) gelten. Inhaltlich soll sich die Missbrauchsregelung soll an jener des § 8 Abs. 4 UWG orientieren. Es wird daher (wie in § 8 Abs. 4 S. 2 UWG) in § 2b S. 2 UKlaG ein Anspruch auf Ersatz von Rechtsverfolgungskosten vorgesehen.

Der Referentenentwurf enthält noch andere Änderungen, unter anderem soll die Vorschrift des § 309 Nr. 13 BGB angepasst werden. Es geht hierbei um Formanforderungen, die Verwender durch Bestimmungen in AGB, insbesondere in Verbraucherverträgen, vereinbaren können. Für Erklärungen von Verbrauchern gegenüber dem Verwender von AGB soll nur noch die Textform (und nicht mehr Schriftform) vereinbart werden können.

Fazit
Hier nochmal die aus meiner Sicht wichtigsten geplanten Änderungen:

    • Ergänzung des UKlaG um einen Beseitigungsanspruch
    • Datenschutzrechtliche Vorschriften werden verbindlich als Verbraucherschutzgesetze festgelegt
    • Klagerechte für Verbraucherschutzverbände, Wirtschaftsverbände und Kammern nach dem UKlaG und dem UWG
    • Neuer § 2b UKlaG zur Vermeidung missbräuchlicher Geltendmachung
    • Änderung der Voraussetzungen für Verbände zur Eintragung in die Liste qualifizierter Einrichtungen i. S. d. § 4 UKlaG
    • Änderung des § 309 Nr. 13 BGB (nur noch Textform statt Schriftform vereinbar)
    • Änderung des § 675a BGB (Erleichterte Erfüllung der Informationspflichten im Internet durch Textform)

Für mich stellen sich nach einer ersten Sichtung des Entwurfs teilweise elementare Fragen, sowohl in Bezug auf die Vereinbarkeit mit geltendem europäischem Recht, als auch hinsichtlich der inhaltlichen Reichweite der geplanten Regelungen, gerade von § 2 Abs. 2 Nr. 11 UKlaG. Der Entwurf befindet sich nun in der Ressortabstimmung. Insbesondere könnte ich mir vorstellen, dass das für den Datenschutz federführend zuständige Bundesinnenministerium noch einige Ergänzungsvorschläge vorbringen könnte.

OLG Hamburg: Abmahnung bei fehlenden Datenschutzhinweisen

Das OLG Hamburg hat mit Urteil vom 27.06.2013 (Az. 3 U 26/12) unter anderem entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs (so die gesetzliche Pflicht aus § 13 Abs. 1 S. 1 TMG) erteilt. Fehlen diese notwendigen Informationen im Rahmen der Vorhaltung einer Eingabemöglichkeit von Nutzerdaten (hier um Informationen zu erhalten bzw. ein Blutzuckermessgerät testen zu können), so verstößt dieses Verhalten nicht nur gegen das Datenschutzrecht, sondern berechtigt Wettbewerber auch dazu, den Webseitenbetreiber abzumahnen.

Diese Entscheidung ist deshalb interessant, weil es in der Rechtsprechung und der Literatur allgemein umstritten ist, inwiefern und wenn ja welche datenschutzrechtlichen Vorschriften einen Wettbewerbsbezug aufweisen und bei einer Verletzung solcher Vorschriften der Diensteanbieter eventuell durch Wettbewerber abgemahnt werden kann.
Continue reading

Die Drosselung der Telekom – eine „unangemessene Benachteiligung“?

Die Verbraucherzentrale NRW hat vor einigen Tage die Telekom wegen ihrer in der Öffentlichkeit heiß diskutierten AGB-Änderung abgemahnt. Laut der Pressemitteilung aufgrund einer „unangemessenen Benachteiligung“ der Verbraucher, weil ab einem gewissen Umfang an verbrauchten Datenvolumen die Geschwindigkeit des Internetzugangs auf 384 kbit/s gedrosselt wird. (Ziff. 2.3 der neuen AGB von Call&Surf).

Es soll hier nicht direkt um die Diskussion gehen, ob eine Netzneutralität gesetzlich vorgeschrieben werden sollte und ein diskriminierungsfreier Zugang zum Internet erforderlich ist. Vielmehr stellt sich die Frage nach aktueller Rechts- und Gesetzeslage, ob wirklich so einfach eine unangemessene Benachteiligung i. S. d. § 307 BGB angenommen werden kann?
Continue reading

VZBV gegen Apple – leider nicht super für das Datenschutzrecht

Wie der VZBV (Verbraucherzentrale Bundesverband e. V.) heute in einer Pressemitteilung berichtet, hat auf seine Klage hin das Landgericht Berlin durch Urteil vom 30. April 2013 (Az. 15 O 92/12) mehrere Klauseln der Datenschutzrichtlinie von Apple für unwirksam erklärt. Ein Erfolg für den Verbraucherschutz, möchte man meinen (“Super für den Datenschutz!” lautete die Meldung auf Twitter).

Mit dem Ausgang des Verfahrens kann man im Ergebnis einverstanden sein. Die rechtliche Begründung des Gerichts in Bezug auf das anzuwendende Datenschutzrecht ist jedoch nicht haltbar und wird Apple Angriffspunkte für eine Berufung bieten.
Continue reading

Privacy made in USA – Das „IT-Grundrecht“ XL

Die Europäische Union (und insbesondere Deutschland) betonen gerne, dass Datenschutz und die digitale Privatsphäre ihrer Bürger hohe Güter darstellen, welche es etwa gegen die Datenriesen aus Drittstaaten zu schützen gilt.

Eine Gerichtsentscheidung aus Amerika durch das Bundesbezirksgericht von Oregon zeigt nun jedoch, dass auch die amerikanische Justiz die digitale Privatsphäre ihrer Bürger zu schützen weiß.

Die Entscheidung
In dem Urteil des Gerichts ging es um einen (für den Besitz von Kinderpornografie) verurteilten Mann, der seinen Rechner in seinem eigenen, offenen W-LAN nutzte. Auf dem Rechner befanden sich Dateien mit kinderpornografischem Inhalt, die in Ordnern der Programme iTunes und LimeWire abgelegt und als „teilen“/„freigegeben“ gekennzeichnet waren, so dass andere Rechner in demselben Netzwerk, über dort installierte iTunes Software, Zugriff auf diese Ordner und Dateien hatten.
Continue reading