Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld “An…” versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Referentenentwurf des BMWi: Haftung von Host-Providern soll verschärft werden

Heute hat das Bundeswirtschaftsministerium den Referentenentwurf für ein Gesetz Änderung des Telemediengesetzes (TMG) veröffentlicht (PDF). Dabei geht es vor allem um den Versuch, die Störerhaftung beim öffentlichen Betrieb von WLANs zu regeln. Diesbezüglich hat der Entwurf sehr deutliche Kritik erfahren, u.a. im Blog bei dem Kollegen Thomas Stadler (Verschlimmbesserung: Der Gesetzesentwurf zur Störerhaftung von W-LAN-Betreibern) oder auf LTO durch den Kollegen Härting.

Der Referentenentwurf befasst sich jedoch nicht nur allein mit einer Anpassung des § 8 TMG und der Frage, welcher Anbieter wann für Rechtsverletzung haftet, die über den Zugang eines freien WLANs begangen werden, sondern geht darüber hinaus. Auch § 10 TMG (der die Haftungsprivilegierung für die Speicherung von fremden Informationen, also die typischen „Cloud“-Konstellationen, regelt) soll angepasst werden. Nach § 10 TMG sind Diensteanbieter, wie etwa Hosting-Anbieter, für fremde Informationen, die sie für einen Nutzer speichern nicht verantwortlich, sofern sie keine Kenntnis von der rechtswidrigen Handlung oder der Information haben. Im Falle von Schadenersatzansprüchen müssen dem Anbieter Tatsachen oder Umstände bekannt sein, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird. Vorgeschlagen wird nun die Schaffung eines neuen § 10 Abs. 2 TMG-E mit folgendem Wortlaut:

(2) Die Kenntnis von Tatsachen oder Umständen nach Absatz 1, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird, wird vermutet, wenn es sich bei dem angebotenen Dienst um einen besonders gefahrgeneigten Dienst handelt. Ein besonders gefahrgeneigter Dienst liegt in der Regel dann vor, wenn:

a) die Speicherung oder Verwendung der weit überwiegenden Zahl der gespeicherten Informationen rechtswidrig erfolgt oder

b) der Diensteanbieter durch eigene Maßnahmen gezielt die Gefahr einer rechtsverletzenden Nutzung fördert oder

c) in vom Diensteanbieter veranlassten Werbeauftritten mit der Nichtverfolgbarkeit bei Rechtsverstößen geworben wird oder

d) keine Möglichkeit besteht, rechtswidrige Inhalte durch den Berechtigten entfernen zu lassen.

Der Gedanke hinter der Neuregelung nach der Gesetzesbegründung:

Bei bestimmten Diensten kann nach der allgemeinen Lebenserfahrung davon ausgegangen werden, dass dem Diensteanbieter ausreichend viele Tatsachen oder Informationen bekannt sind, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird.

Bestimmte Fallkonstellationen, in denen aus Sicht des Gesetzgebers die Vermutung besteht, dass der Diensteanbieter eine entsprechende Kenntnis besitzt, sollen nun im § 10 Abs. 2 TMG-E festgeschrieben werden. Es geht im Prinzip also um eine gesetzliche Vermutung für eine Haftung des Hosting-Providers. Diese gesetzliche Vermutung (§ 292 ZPO) müsste im Fall des Falles der Anbieter dann entkräften können, indem er etwa beweist, dass er keine Kenntnis hatte. Dem Grundsatz möchte die Bundesregierung aber festlegen, dass Hosting-Anbieter, bei denen eine der oben aufgezählten Voraussetzungen (a) bis b)) vorliegt, für auf ihrer Plattform gespeicherte rechtswidrige Informationen haften. Die derzeit geltende Vermutung (keine Haftung für fremde Inhalte) soll also, zumindest für bestimmte Fälle um 180 Grad gedreht werden.

Datenschutzreform: Konzerninterne Datentransfers sollen erleichtert werden

Der Rat der Europäischen Union und insbesondere die Ratsarbeitsgruppe, die sich mit der Reform des europäischen Datenschutzrechts befasst (Dapix), sind in diesen Tagen nicht zu beneiden. Nach der Veröffentlichung von Verhandlungsdokumenten (auf statewatch.org und edri.org zu finden) zu den neuesten Änderungen an dem Entwurf für eine Datenschutz-Grundverordnung, ging ein Kritikgewitter auf die Dapix nieder (u.a. bei heise online, futurezone.at und Tagesspiegel).

Ob die Kritik berechtigt ist oder nicht, möchte ich hier nicht näher untersuchen. Mir ist bei einem flüchtigen Blick auf eines der betreffenden Dokumente (Kapitel 2, (Englisch) PDF) vielmehr ein aus der Praxis positiv zu bewertender Änderungsantrag aus Deutschland ins Auge gestochen.

In einem neuen Erwägungsgrund 38a schlägt Deutschland vor, dass in Zukunft Datenübermittlungen innerhalb von Unternehmensgruppen bzw. eines Konzerns, grundsätzlich aufgrund eines berechtigten Interesses der Verantwortlichen Stelle erlaubt sein sollen. Voraussetzung ist unter anderem, dass die Übermittlung für verwaltungsinterne bzw. administrative Zwecke erfolgt.

Das Thema des sog. Konzernprivilegs (bzw. sein Fehlen im Datenschutzrecht) wäre mit dieser Änderung zumindest eingeschränkt erledigt. Derzeit müssen auch Datentransfers in einer Unternehmensgruppe auf eine Einwilligung oder einen gesetzlichen Erlaubnistatbestand gestützt werden. Es existiert kein Privileg des konzerninternen Datentransfers. Es handelt sich datenschutzrechtlich um eine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 BDSG. Der deutsche Vorschlag würde nun zwar einem Datentransfers nicht seine Natur einer Übermittlung nach dem Gesetz nehmen (daher meine Wortwahl des eingeschränkten Konzernprivilegs). Jedoch wäre diese Übermittlung in bestimmten Fällen von vornherein erlaubt.

Einen ähnlichen Vorschlag, jedoch nicht nur in der Form eines Erwägungsgrundes, sondern direkt als einen neuen Art. 22 Abs. 3a, hat auch das Europäische Parlament in seiner Entschließung zur Datenschutz-Grundverordnung im März 2014 gemacht.

Was letztendlich von diesem Vorschlag der deutschen Delegation im Rat übrig bleibt, muss man abwarten. Denn über diesen Änderungsantrag dürfte noch nicht in Gänze zwischen den Mitgliedstaaten diskutiert worden sein. Sollte es ein solcher Erwägungsgrund jedoch in die Verhandlungen zwischen Kommission, Parlament und Rat schaffen, so stünden die Chancen aufgrund des ähnlichen Vorschlags aus dem Parlament, bestimmt nicht schlecht, dass wir am Ende zumindest ein „eingeschränktes Konzernprivileg“ erhalten.

UK: Google einigt sich mit Aufsichtsbehörde auf Änderungen beim Datenschutz

Am 30. Januar 2015 gab die englische Datenschutzbehörde (ICO) bekannt, dass man sich im Rahmen eines Prüfverfahrens, welches die Verarbeitung von Nutzerdaten bei Google und den Inhalt der Datenschutzerklärung zum Gegenstand hatte, darüber verständigt hat, dass das US-Unternehmen eine Verpflichtungserklärung unterzeichnet und die Behörde im Gegenzug keine Zwangsmaßnahmen durchführt.

Hintergrund des Verfahrens ist eine europaweite und seit Jahren andauernde Überprüfung der Datenschutzerklärung und Verarbeitungstätigkeiten von Google, welche in verschiedenen europäischen Ländern von den jeweils zuständigen nationalen Behörden vorgenommen wurde und teilweise auch noch wird. Zuletzt hatte die niederländische Datenschutzbehörde für Aufsehen gesorgt, nachdem sie im Dezember 2014 ankündigte, gegen Google ein Bußgeld zu verhängen, welches mit fortschreitender Zeit bis zu 15 Million Euro betragen kann (hierzu mein Beitrag).

Die nun in England unterzeichnete Verpflichtungserklärung (PDF) beinhaltet unter anderem folgende Maßnahmen:

  • Google sorgt für eine fortgesetzte Bewertung der Auswirkungen zukünftiger Veränderungen der Datenverarbeitungsprozesse auf die Privatsphäre der Nutzer
  • Wesentliche Änderungen der Datenschutzerklärung sollen von Spezialisten für die Nutzererwartung begutachtet und mit repräsentativen Gruppen von Nutzern getestet werden
  • Auch in Zukunft wird Google proaktiv mit der Aufsichtsbehörde in England zusammenarbeiten und vor wesentlichen Änderungen der Datenverarbeitungsprozesse die Behörde rechtzeitig hierauf hinweisen

Zudem verpflichtet sich Google spezifische Änderungen an der Datenschutzerklärung bis zum 30. Juni 2015 vorzunehmen. Zu diesen Anpassungen gehören unter anderem:

  •  Google wird die Erreichbarkeit der Datenschutzhinweise verbessern
  • Google wird die Informationen über die Datenverarbeitung in der Datenschutzerklärung verbessern und deutlicher über die Zwecke der Verarbeitung und die Arten der Daten informieren
  • Google wird den Nutzern Informationen dazu bereitstellen, wie sie ihre gesetzlichen Rechte ausüben können
  • Zudem wird Google zwei Abschnitte der Nutzungsbedingungen (unter anderem jenen zur Verarbeitung von Daten im Rahmen des E-Mail-Dienstes) in die Datenschutzerklärung integrieren
  • Auch wird Google die gesamte Datenschutzerklärung mit Blick auf unscharfe und unbestimmte Begriffe und Informationen überarbeiten
  • Google wird eine überarbeitete Version der Account-Einstellungen entwickeln, welche es den Nutzern ermöglichen verschiedene Kontrollmöglichkeiten zu den Diensten auszuüben

Die Verpflichtungserklärung und die dort enthaltenen Vorgaben gelten nur für die englische Version der Datenschutzerklärung von Google.

Auch die Versammlung der europäischen Datenschützer, die sog. Art. 29 Gruppe, hatte im letzten Jahr Vorschläge veröffentlicht, wie Google seine Datenschutzerklärungen ihrer Ansicht nach verbessern könne (hierzu mein Beitrag). Die Verpflichtungserklärung aus England kopiert einige der dort entwickelten „Hausaufgaben“. In Deutschland läuft in diesem Zusammenhang derzeit ein durch den Hamburgischen Beauftragten für Datenschutz angestrengtes Verwaltungsverfahren gegen Google.

Datenschutz-Deutschland: Geprägt von Uneinigkeit

Die Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg, dass Datenschutzverstöße von Kommunen im Rahmen des Einsatzes des Analysetools Google Analytics nach Überprüfungen abgestellt wurden, hat mich stutzig gemacht. Anhand dieses Beispiels “Google Analytics” kann man jedoch erkennen, mit welchen tatsächlichen Schwierigkeiten sowohl Unternehmen als auch Behörden derzeit bei der Beachtung der gesetzlichen Vorgaben zum Datenschutz umgehen müssen, wenn sie weder völlig auf neue Technologien verzichten möchten, noch gesetzliche Standards völlig unbeachtet lassen wollen.

Einheitliche Position der Behörden
Für den privaten Bereich hatten sich alle deutschen Landesdatenschutzbehörden auf ein einheitliches Vorgehen in Sachen „Google Analytics“ verständigt. Unter Federführung des Hamburger Datenschützers wurde ein Verfahren mit Google abgestimmt, welches den (nach Ansicht der Behörden) datenschutzrechtskonformen Einsatz des Tools ermöglicht. Ein solches Ergebnis ist aus Sicht der Praxis und in diesem Fall der privatwirtschaftlichen Betreiber von Webseiten absolut zu begrüßen. Denn es wäre kaum verständlich und vermittelbar, warum etwa ein Unternehmen in Bayern Google Analytics nutzen dürfte und z. B. ein Unternehmen in Hessen nicht. Daneben könnten sich aus einer solchen Situation auch wirtschaftliche Nach- bzw. Vorteile für die Unternehmen ergeben, je nachdem in welchem Bundesland sie sitzen und welche Landesbehörde zuständig ist.

Aber: der öffentliche Bereich
Die angesprochene Mitteilung der Landesdatenschutzbeauftragten aus Brandenburg betrifft nun aber öffentliche Stellen. Hier gelten (teilweise) andere Datenschutzgesetze als im privatwirtschaftlichen Bereich. Einige sind aber auch gleich, gerade was die hier in Rede stehenden Voraussetzungen des § 15 Abs. 3 TMG betrifft (vgl. etwa 16. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, S. 122, PDF). Nach Aussage in der Pressemitteilung der Landesdatenschutzbeauftragten in Brandenburg schließt der „Einsatz von Google Analytics durch öffentliche Stellen in Brandenburg“ die Möglichkeit des datenschutzgerechten Betriebes von Internetangeboten aus. Man geht also von der absoluten Unzulässigkeit aus.

Doch warum soll hier etwas anderes gelten, als im privaten Bereich? Können öffentliche Stellen nicht auf die durch die Datenschutzbehörden mit Google ausgehandelten Kriterien zurückgreifen? Auch der Landesdatenschützer in Hessen geht von der Unzulässigkeit des Einsatzes von Google Analytics durch öffentliche Stellen aus. Grund hierfür ist oft, dass im öffentlichen Datenschutzrecht spezielle Anforderungen an die Auftragsdatenverarbeitung gestellt werden, die Google nicht erfüllen kann. Auf der anderen Seite ging bereits im Jahre 2010 der Bayerischen Landesbeauftragten für den Datenschutz davon aus, dass Google Analytics auch durch Behörden grundsätzlich rechtskonform eingesetzt werden kann. In einer Pressemitteilung, die im Rahmen der Prüfung bayerischer Behörden entstand, führt er aus:

Bei der Anfang November durchgeführten Nachprüfung hat sich gezeigt, dass nunmehr nur noch 159 bayerische Behörden Google Analytics einsetzen. 25 dieser Behörden tun dies in Verbindung mit einer Anonymisierungsfunktion, eine datenschutzkonforme Vorgehensweise ist danach zumindest möglich. (Hervorhebung durch mich).

Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass für öffentliche Stellen in Hamburg andere rechtliche Voraussetzungen und zusätzliche Anforderungen gelten, die einen Einsatz von Google Analytics oder anderer Tracking-Dienste nur eingeschränkt ermöglichen (PDF). Ausgeschlossen ist der Einsatz danach aber nicht, wie sich etwa am Beispiel der Webseite des Hamburger Senats zeigt, auf der Google Analytics zum Einsatz kommt.

Quintessenz
Was möchte ich mit diesen Feststellungen sagen? Offensichtlich ist man sich bezüglich der Voraussetzungen des Einsatzes von Google Analytics in den Datenschutzbehörden in Deutschland uneins, was jedoch leider für den praktischen Umgang mit den Datenschutzgesetzen ein erhebliches und Rechtsunsicherheit schaffendes Problem darstellen kann. Gerade wenn solche landesspezifischen Abweichungen im Bereich der Durchsetzung des Datenschutzrechts in der Privatwirtschaft entstehen. Nach dem Motto: “Warum dürfen die Bayern das und wir nicht?”. Im konkreten Fall betrifft es beispielhaft das Thema „Google Analytics“ und den öffentlichen Bereich. Doch abweichende Rechtsanschauungen und damit einhergehend eine abweichende Rechtsdurchsetzung (immerhin mit der Möglichkeit Bußgelder zu verhängen), treten ebenso im privatwirtschaftlichen Bereich zu Tage. Man muss daher im Interesse aller Beteiligten hoffen, dass ein einheitliches Vorgehen der Aufsichtsbehörden in Zukunft, ja wenn nicht sogar eine gesetzliche Pflicht (man denke an die Vorgaben der Datenschutz-Grundverordnung zum sog. „one-stop-shop“) zum kohärenten Vollzug der Datenschutzgesetze, die Regel sein wird.

Bundesregierung: Geltende Datenschutzvorgaben für Werbung & Marketing sind ausreichend

Die Bundesregierung hat mit Datum vom 6. Januar 2015 einen Bericht „über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes (BSDG) im Rahmen der zweiten BDSG-Novelle“ veröffentlicht (PDF) (BT-Drs. 18/3707).

Novellierung des BDSG
Die §§ 28 und 29 BDSG wurden in der Novelle des Jahres 2009, vor allem mit Blick auf die Neureglung des Datenumgangs im Adresshandel und bei Werbung, angepasst und nach § 48 BDSG hat die Bundesregierung den Auftrag, bis zum 31. Dezember 2014 über die Auswirkungen der Gesetzesänderungen zu unterrichten. Der nun vorliegende Bericht gibt zum einen Überblick darüber, wie aus Sicht der Aufsichtsbehörden die Vorgaben der §§ 28 und 29 BDSG eingehalten werden und wo diese noch Defizite sehen. Auch wird auf Stellungnahmen aus der Wirtschaft eingegangen.

Häufigste Verstöße
Laut den Angaben der deutschen Datenschutzbehörden finden die meisten Verstöße gegen das Datenschutzrecht (bzw. teilweise auch die Vorgaben des § 7 UWG) aufgrund folgender Konstellationen statt:

Interessant ist vor allem das durch die Bundesregierung gezogene Fazit in dem Bericht. Danach wurde das Ziel der zweiten BDSG-Novelle grundsätzlich erreicht. Die strukturellen Veränderungen im Rahmen der Novelle haben, so die Bundesregierung

den Anfall von Daten gesenkt, ihren Schutz, soweit sie anfallen, gesteigert und die Transparenz für die Betroffenen sowie ihre Widerrufsrechte gestärkt.

Zwar verneint die Bundesregierung nicht, dass es auch noch Probleme bei der Einhaltung der Vorgaben der §§ 28, 29 BDSG in der Praxis gebe. Diese Probleme beziehen sich jedoch vor allem auf Rechtsverstöße. Man könnte also auch sagen, dass eine Gesetzesänderung nicht daran ändert wird, dass auch in Zukunft gegen gesetzliche Vorgaben verstoßen werde. Daher schlägt auch die Bundesregierung vor, dass diese noch bestehenden Probleme vor allem durch stärkere Kontrollen und Sanktionierungen der Aufsichtsbehörden verringert werden sollen. „Legislative Abhilfemöglichkeiten“ sieht die Bundesregierung als wenig zielführend an.

Auch geht der Bericht auf die Auswirkungen der geplanten europäischen Datenschutz-Grundverordnung ein. Die klare Aussage der Bundesregierung:

Unabhängig von seinem Inhalt wird dieser EU-Rechtsakt erhebliche Auswirkungen auf das nationale Datenschutzrecht haben.

Fazit
Datenschutzrecht und Werbung schließen sich sicherlich nicht aus. Dennoch gilt es gerade in diesem Bereich besonderen Wert auf die Einhaltung der gesetzlichen Anforderungen zu legen. Die bayerische Datenschutzbehörde hatte erst im November 2014 angekündigt, dass sie in Zukunft wird das BayLDA ihre eher zurückhaltende Praxis bei der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren werde. Erste Hinweise und Hilfestellungen zum Thema „Werbung und Datenschutz“ lassen sich etwa den „Anwendungshinweisen der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke“ (PDF) entnehmen.

IT-Sicherheitsgesetz: Geplante Änderungen und Auswirkungen für Webseitenbetreiber

Am 17.12.2014 hat die Bundesregierung den Entwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, PDF) beschlossen. Nach der Pressemitteilung des federführend zuständigen Bundesinnenministeriums, werden in den Entwurf, zur Steigerung der IT-Sicherheit im Internet, die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht. Sie sollen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten.

Geplant sind auch Änderungen des Telemediengesetzes (TMG), welches im Grundsatz für alle Webseiten oder andere Internetangebote, aber etwa auch Apps gilt. Die Begründung des Gesetzentwurfes führt einleitend zu den vorgeschlagenen Anpassungen des TMG aus, dass wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste, die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt werden.

Nach dem Entwurf des IT-Sicherheitsgesetzes wird in § 13 TMG ein neuer Absatz 7 eingefügt (nachfolgend § 13 Abs. 7 TMG-E), der folgenden Wortlaut hat:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

„Geschäftsmäßig“
Die neuen Verpflichtungen zur Implementierung technischer und organisatorischen Maßnahmen sollen nur für „geschäftsmäßig angebotene Telemedien“ gelten. Nach der Gesetzesbegründung ist ein Angebot dann geschäftsmäßig, „wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt“. Bei gegen Entgelt angebotenen Telemedien ist diese Voraussetzung regelmäßig erfüllt. Die Begründung führt beispielhaft „werbefinanzierte Webseiten“ an. Ausdrücklich ausgeschlossen von dem Anwendungsbereich des neuen § 13 Abs. 7 TMG-E soll jedoch das „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“ sein. Daher dürfte etwa ein privat betriebener Blog nicht der neuen Pflicht unterliegen, selbst wenn dieser mit gewisser Nachhaltigkeit und auch planmäßig betrieben wird. Denn nach der Gesetzesbegründung reicht es für die Nicht-Anwendbarkeit des neuen Abs. 7 aus, dass das Angebot nicht-kommerziell durch einen Privaten betrieben wird.

Zumutbarkeit von Schutzmaßnahmen
Nach dem geplanten Abs. 7 müssen Diensteanbieter (also etwa Webseitenbetreiber von Onlineshops) kumulativ (!) sicherstellen, dass 1) kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist, 2) diese gegen Verletzungen des Schutzes personenbezogener Daten und 3) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Die drei Schutzpflichten sind mit dem Wort „und“ verbunden, woraus sich eine notwendige Erfüllung aller drei Voraussetzungen ergibt. Ein Diensteanbieter wird sich also grundsätzlich nicht darauf berufen können, er habe seinen Dienst doch besonders gegen unerlaubte Zugriffe geschützt und dass dies ausreichen müsse.

Da der damit einhergehende tatsächliche Aufwand für Diensteanbieter, je nach den bereits implementierten Schutzmaßnahmen, nicht unerheblich sein dürfte, sieht Abs. 7 jedoch als Tatbestandsvoraussetzung ebenso das Kriterium der „Zumutbarkeit“ für den Diensteanbieter vor. Die entsprechenden Vorkehrungen müssen für den konkreten Diensteanbieter technisch möglich und wirtschaftlich zumutbar sind. Zu hohe Umsetzungskosten stellen daher etwa ein Kriterium dar, welcher der Webseitenbetreiber rechtmäßigerweise anführen darf, um nur diejenigen technischen und organisatorischen Maßnahmen umzusetzen, die er sich auch wirklich leisten kann. Der Betreiber einer Webseite oder eine anderen Internetdienstes ist also nicht dazu verpflichtet, sein Unternehmen mit finanziellen Verlusten zu belasten, die das Angebot selbst unrentabel machen würde oder gar seine Existenz gefährden. Laut der Begründung des Gesetzentwurfes müssen die „Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen“.

Pflicht zur Anpassung von Kooperationsverträgen?
Im Hinblick auf Webseiten führt die Begründung des Gesetzentwurfes aus, dass es ein wesentliches Ziel des neuen Abs. 7 ist, das unbemerkte Herunterladen von Schadsoftware beim Besuch einer präparierten Webseite zu unterbinden. Webseitenbetreiber sollten daher regelmäßig die für die Erstellung und den Betrieb der Webseite verwendete Software aktualisieren, da hierdurch die Sicherheit erhöht werde.

Häufig finanzieren Webseitenbetreiber ihr Angebot mit Werbeanzeigen. Der Inhalt der Werbebanner ist jedoch meist nicht ein originär eigener. Vielmehr wird dieser über Dritte, etwa die Betreiber von Werbenetzwerken, bezogen. Der Webseitenbetreiber hat also auf den Inhalt der Werbebanner meist keinen direkten, insbesondere technischen Einfluss (außer das Banner komplett zu entfernen). Es besteht jedoch technisch die Möglichkeit, dass über die Werbeanzeigen schädliche Inhalte geladen werden. Auch in dieser Konstellation sieht der Gesetzesentwurf den Webseitenbetreiber jedoch zumindest in einer Teilpflicht. Gegen das Laden und Einspeisen schädlicher Skripte oder von Software über Drittinhalte innerhalb des eigenen Angebotes, sind nach der Begründung des Gesetzesentwurfs „organisatorische Vorkehrungen zu treffen“. Nach Auffassung der Bundesregierung gehört hierzu beispielsweise, dass Werbedienstleister, denen Werbefläche eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen verpflichtet werden.

Bußgeldbewährung
Ein fahrlässiger oder vorsätzlicher Verstoß gegen § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 a) TMG-E (nicht die Nr. 2 b)) soll zudem eine Ordnungswidrigkeit darstellen (§ 16 Abs. 2 Nr. 3 TMG) und nach § 16 Abs. 3 TMG die Möglichkeit eines Bußgeldes in Höhe von 50.000 EUR nach sich ziehen. Beachtlich ist insofern, dass damit nicht nur das komplette Fehlen von technischen und organisatorischen Maßnahmen eine Ordnungswidrigkeit darstellt. Die Begründung des Gesetzesentwurfs spricht ausdrücklich davon, dass „damit auch der Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter, die nicht den Stand der Technik berücksichtigen“ bußgeldbewährt sein soll.

Bis zu 15 Mio. Euro: Niederländische Datenschutzbehörde verhängt Zwangsgeld gegen Google

Die niederländische Datenschutzbehörde (CBP) gab gestern bekannt, dass sie im Zuge behördlicher Anordnungen gegenüber Google ein Zwangsgeld verhängt habe, dessen Höhe bis zu einem Betrag von 15 Mio. Euro steigen kann.

Nach Angaben der Behörde bietet Google seine Dienste in den Niederlanden unter Verstoß gegen das nationale Datenschutzrecht an. Im November 2013 hat die CBP ein umfassendes Gutachten (PDF, Englisch) veröffentlicht, in dem die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch die Dienste von Google untersucht wird. Auf der Grundlage der Ergebnisse dieses Gutachtens geht die Behörde nun gegen das amerikanische Unternehmen vor.

Die CBP fordert Google insbesondere zu drei umzusetzenden Maßnahmen auf:

  • Das Unternehmen muss die Einwilligung seiner Nutzer einholen, wenn es personenbezogene Daten aus verschiedenen Diensten kombiniert. Die Einwilligung müsse „ohne jeden Zweifel“ erfolgen, was derzeit nicht sichergestellt sei. So stört sich die Behörde insbesondere daran, dass Google Informationen zu dieser Verknüpfung von Daten in seinen Nutzungsbedingungen und der Datenschutzerklärung bereitstelle, was jedoch nicht ausreichend sei.
  • Zudem müssten die Informationen in den Datenschutzerklärungen darüber, wie verschiedene Dienste von Google personenbezogene Daten nutzen, deutlicher und umfassender bereitgestellt werden.
  • Auch solle Google deutlich machen, dass es sich bei YouTube um einen Dienst von Google handelt. In den Niederlanden habe Google hinsichtlich dieser letzten Forderungen bereits Maßnahmen ergriffen.

Das Vorgehen der CBP steht im Zusammenhang mit einer europaweit angelegten Prüfung der Datenschutzbestimmungen und Datenverarbeitung durch Google, die seit 2012 durch die französische Datenschutzbehörde koordiniert und im Rahmen der sog. Art. 29 Datenschutzgruppe durchgeführt wird. In mehreren Ländern haben Datenschutzbehörden bereits verwaltungsrechtliche Verfahren gegen Google eröffnet. So etwa die spanische Datenschutzbehörde (mein Beitrag) als auch die französische Aufsichtsbehörde (mein Beitrag). In Deutschland hat der Hamburgische Datenschutzbeauftragte im September 2014 eine Anordnung gegen das Unternehmen erlassen.

Erst jüngst hat die Art. 29 Datenschutzgruppe im Zusammenhang mit diesen Verfahren auch eine Stellungnahme veröffentlicht, wie aus ihrer Sicht die Datenschutzerklärung von Google angepasst werden könnte, um den datenschutzrechtlichen Ansprüchen in Europe zu genügen. Man könnte auch von einem “Hausaufagbenheft” für Google sprechen (mein Beitrag dazu).

In den Niederlanden hat Google nun bis Februar 2015 Zeit, um die Forderungen der CBP umzusetzen. Sollte das Unternehmen dem nicht nachkommen, so kündigt die Behörde bereits an, dass ein Zwangsgeld bis zu einer Höhe von 15 Mio. Euro verhängt werden könnte.

Hamburger Datenschützer: Datenschutzverstöße sollten generell abmahnbar sein

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Caspar, hat sich in einer Stellungnahme (PDF) zur Anhörung der Monopolkommission zur Vorbereitung eines Sondergutachtens zum Wettbewerb auf digitalen Märkten, zu Fragen im Schnittfeld zwischen Datenschutz- und Wettbewerbsrecht geäußert. Zum einen geht es hierbei um marktbeherrschende Stellungen von Unternehmen, die diese möglicherweise auch durch Datenschutzverstöße erlangen, festigen oder ausbauen. Zum anderen äußert sich der HmbBfDI kritisch zu dem (immer noch umstrittenen Verhältnis) zwischen Wettbewerbsrecht und dem Datenschutzrecht, vor allem inwiefern Verstöße gegen datenschutzrechtliche Vorgaben durch Wettbewerber nach dem UWG abgemahnt werden können.

Marktmacht und Datenschutz
Laut der Stellungnahme des HmbBfDI tendiert eine Datenmacht dazu, die Marktmacht von Unternehmen zu festigen. Prof. Caspar kritisiert mit Blick auf die großen Anbieter von sozialen Netzwerken und Suchmaschinen, dass für die Nutzer, anders als bei der Wahl eines Telekommunikationsanbieters, ein Anbieterwechsel nur unter Verlust der gesammelten Kontakte und der eigenen Daten möglich sei. Es bestehe zumeist keine Durchlässigkeit hin zu anderen Dienstleistern auf dem Markt. Der Datenschützer begrüßt daher den in der geplanten europäischen Datenschutz-Grundverordnung geplanten Ansatz, ein Recht auf „Datenportabilität“ einzuführen. Die Möglichkeit, die eigenen Daten beim Anbieterwechsel mitzunehmen, könne nach Ansicht von Prof. Caspar wesentlich dazu beitragen, den Wettbewerb auf digitalen Märkten zu stärken. Auch eine Interoperabilität zwischen den verschiedenen Anbietern fordert der Datenschutzbeauftragte.

Intransparente Strukturen
Zudem kritisiert Prof. Caspar, dass Marktmacht und Datenmacht gleichsam durch intransparente Strukturen der von den Unternehmen verfolgten Geschäftsmodelle begünstigt werden. Er bezieht sich in seiner Stellungnahme etwa auf die Betreiber von Suchmaschinen und die „von außen nicht ohne weiteres nachvollziehbare Platzierung in den Trefferlisten“. Im Prinzip wäre es seiner Ansicht nach erforderlich, dass die Suchalgorithmen offengelegt werden. Auch eine andere, kurzfristig zu erreichende Verbesserung schlägt er vor: durch die Vorgabe einer farbigen Unterlegung von konzerneigenen Angeboten bei den Suchtreffern würde eine größere Transparenz für Nutzer hergestellt.

Unter der Überschrift der „intransparenten Strukturen“ bemängelt Prof. Caspar zudem die Schwierigkeit für Nutzer zu erkennen, „ob und zu welchen Zwecken die Verwendung der von ihnen zur Verfügung gestellten persönlichen Daten durch die Internetdienstleister erfolgt“. Beispielhaft geht er bei seiner Stellungnahme auf die Datenschutzbestimmungen von Netflix ein. Diesen attestiert er eine „schwammige Zweckbindungsbestimmung“ und einen erweiternden Zusatz, „der die Datenschutzfunktion weitgehend ad absurdum führt“. Diese von Prof. Caspar bemängelte, fehlende Transparenz werde seiner Einschätzung nach „von marktrelevanten Unternehmen nicht zuletzt zur Festigung und Ausdehnung der eigenen Markt- und Datenmacht genutzt“.

Datenschutzwidrige Praxis und Wettbewerbsrecht
Auch geht der Datenschutzbeauftragte darauf ein, dass (vermeintliche) datenschutzwidrige Praktiken seiner Ansicht nach zu einem Wettbewerbsvorteil führen können. Gerade auf digitalen Märkten wirke sich die Nichtbeachtung von Vorgaben des Datenschutzes auch auf die Wettbewerbspositionen der Marktteilnehmer aus. Das bisherige Nebeneinander zwischen Wettbewerbs-und Datenschutzrecht erschwere es Wettbewerbern jedoch bislang, Datenschutzverstöße über das UWG erfolgreich und rechtssicher geltend zu machen. Die Rechtsprechung und Literaturmeinungen zu dieser Thematik gehen auseinander. Erforderlich für ein Vorgehen nach dem UWG ist der Verstoß gegen eine Marktverhaltensvorschrift im Sinne des § 4 Nr. 11 UWG. Jedoch existieren beispielsweise divergierende Gerichtsentscheidungen zu der Frage, ob ein Verstoß gegen die Regelung des § 4 Abs. 1 BDSG (der eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur erlaubt, soweit dies nach dem BDSG oder eine andere Rechtsvorschrift gestattet ist oder der Betroffene eingewilligt hat) auch einen Verstoß gegen das Wettbewerbsrecht darstellt.

Prof. Caspar fordert daher in seiner Stellungnahme, dass in Zukunft darüber nachgedacht werden sollte, „den Verstoß gegen Datenschutzregeln mit einem Wettbewerbsverstoß gleichzusetzen“. Hierzu bedürfe es jedoch einer Initiative des Gesetzgebers.

Internationale Datentransfers: Neues Prüfverfahren durch europäische Behörden

Die Übermittlung von personenbezogenen Daten aus der EU bzw. aus dem EWR in einen sog. Drittstaat, stellt Unternehmen regelmäßig vor die Herausforderung, bestimmte datenschutzrechtliche Anforderungen zu erfüllen, um den Datenfluss zu legitimieren. Nach der europäischen Datenschutzrichtlinie (RL 95/46/EG) ist im Grundsatz jede Übermittlung in Drittstaaten verboten, solange nicht ein angemessenes Schutzniveau für die übermittelten Daten geschaffen wird. Dieses angemessene Schutzniveau kann auf mehreren Wegen hergestellt werden. Ein Beispiel für Übermittlungen in die USA ist etwa die Selbstzertifizierung der die Daten empfangenden Stelle unter Safe Harbor. Daneben werden in der Praxis oft die sog. Standardvertragsklauseln der Europäischen Kommission eingesetzt. Hierbei handelt es sich um Musterverträge (eine Übersicht findet sich hier), die zwischen dem „Datenexporteur“ in der EU/dem EWR und dem „Datenimporteur“ (im Drittland) abgeschlossen werden können. Werden die Verträge ohne inhaltliche Änderungen (oder zumindest ohne solche, die zum Nachteil des Schutzniveaus der Daten von den Mustertexten abweichen) abgeschlossen, so wird automatisch ein angemessenes Schutzniveau der Daten angenommen. Eine Genehmigung der Standardverträge durch eine Aufsichtsbehörde ist dann (zumindest in Deutschland und einigen anderen Ländern der EU) nicht erforderlich, da die Behörden an die Entscheidung der EU-Kommission gebunden sind. Manche Behörden verlangen jedoch zumindest, die Verwendung der Verträge ihr gegenüber anzuzeigen. Anders sieht es für Individualverträge aus, welche der Genehmigung der Behörde bedürfen.

Die europäischen Datenschutzbehörden, versammelt in der Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun in einer neuen Stellungnahme (WP 226, PDF) ein Verfahren im Zusammenhang mit der Prüfung und Genehmigung von Standard- als auch Individualverträgen vorgestellt, welches vor allem für international tätige und in mehreren Mitgliedstaaten ansässige Unternehmen interessant sein dürfte, die personenbezogene Daten in Drittstaaten übermitteln.

Die Art. 29 Gruppe erkennt die praktische Schwierigkeit, dass ein Unternehmen mit mehreren Niederlassungen in der EU möglicherweise (je nach dem nationalen Recht) gezwungen ist, in jedem Mitgliedstaat, von dem aus personenbezogene Daten in ein Drittland übermittelt werden sollen, eine Genehmigung der Behörde für inhaltlich dieselben Verträge einzuholen. Es besteht das Risiko, dass eine Aufsichtsbehörde die ihr vorgelegten Verträge als ausreichend anerkennt, eine andere Behörde jedoch Nachbesserungen fordert. Die Folge ist ein nicht zu unterschätzender Mehraufwand für Unternehmen und im schlimmsten Fall eine Divergenz der Verträge oder sogar ein Absehen von deren Verwendung, unter einem ja eigentlich vollharmonisierten europäischen Datenschutzrecht!

Unternehmen, die Übermittlungen aus mehreren Mitgliedstaaten in einen Drittstaat auf der Grundlage inhaltlicher gleicher Verträge planen, können nun ein neu geschaffenes Kooperations-Verfahren der europäischen Aufsichtsbehörden in Anspruch nehmen, um eine für alle Verträge einheitliche Entscheidung und damit vor allem eine gewisse Rechtssicherheit zu erhalten.

Das Verfahren ist nach der Stellungnahme der Art. 29 Gruppe grob wie folgt aufgebaut:

1. Das Unternehmen sucht sich diejenige Aufsichtsbehörde in einem Mitgliedstaat (in dem es eine Niederlassung besitzt) aus, die seiner Meinung nach als führende Behörde agieren sollte. Folgende Kriterien sollten der Entscheidung zugrunde liegen: der Ort der Niederlassung, an dem die Vertragsklauseln ausgehandelt bzw. entworfen werden; der Ort der Niederlassung, an dem die meisten Entscheidungen in Bezug auf die Zwecke und Mittel der Datenverarbeitung getroffen werden; den Ort der Niederlassung, um das Verfahren am effektivsten durchzuführen und die Vertragsklauseln durchzusetzen; den Ort einer Niederlassung, von dem aus die meisten Datenübermittlungen stattfinden; der Ort der Niederlassung des europäischen Hauptsitzes.

2. Das Unternehmen hat dieser Behörde den Vertragsentwurf (schriftlich als auch per E-Mail) zu übersenden und dabei auf die Art der verwendeten Standardvertragsklauseln hinzuweisen. Zudem muss auf Abweichungen zu den Mustern hingewiesen werden. Zudem sollte angegeben werden, aus welchen Mitgliedstaaten die Übermittlungen erfolgen.

3. Die Aufsichtsbehörden können entscheiden, ob im konkreten Fall ein solches Kooperations-Verfahren überhaupt sinnvoll erscheint oder nicht (etwa wenn Änderungen an den Mustertexten sich nicht auf den Datenschutz beziehen).

4. Die Wahl der führenden Behörde bleibt letztendlich den beteiligten Aufsichtsbehörden vorbehalten. Sie können etwa eine andere als die von dem Unternehmen gewählte Behörde als führend bestimmen. In diesem Fall müssen sie jedoch die Präsidentin der Art. 29 Gruppe informieren, die diese Übertragung durchführt.

5. Nach Eingang der Unterlagen soll das Unternehmen innerhalb von 2 Wochen Nachricht erhalten, ob das Kooperations-Verfahren eingeleitet wird.

6. Nimmt die ausgewählte Behörde die Bestimmung als führende Behörde an, so wird sie alle anderen von der Entscheidung betroffenen Behörden kontaktieren (also jene Behörden in Mitgliedstaaten, in denen sich Niederlassungen befinden, die ebenfalls Daten übermitteln sollen). Zudem werden gleichzeitig Prüfbehörden bestimmt, die neben der führenden Behörde die Verträge inhaltlich kontrollieren. Sind mehr als 9 Mitgliedstaaten betroffen, so werden 2 Prüfbehörden bestimmt. Ansonsten nur eine.

7. Andere betroffene Behörden können innerhalb von 2 Wochen der Einsetzung der Behörden und der Verteilung der Rollen widersprechen. Die Prüfbehörden sollen ihrer Benennung zustimmen.

8. Ähnlich wie bei der EU-weiten Prüfung von verbindlichen Unternehmensregelungen (BCR), soll auch hier ein freiwilliges System der gegenseitigen Anerkennung von behördlichem Handeln zwischen europäischen Aufsichtsbehörden eingerichtet werden.

Hat die führende Behörde ihre Analyse beendet, so wird sie das Ergebnis den Prüfbehörden mitteilen. Die Prüfbehörden haben dann einen Monat Zeit, um eigene Anmerkungen oder Änderungen vorzuschlagen. Diese Monatsfrist soll nur in Ausnahmefällen verlängert werden können. Sollte keine Reaktion der Prüfbehörde erfolgen, so gilt dies als ihre Zustimmung zum Vorschlag der führenden Behörde.

9. Danach wird das Ergebnis an alle anderen betroffenen Behörden weitergeleitet. Solche Behörden, die Teil des Systems der gegenseitigen Anerkennungen von Entscheidungen sind, werden die positive Entscheidung der führenden Behörden nur umsetzen (entsprechend den nationalen Vorgaben also etwa ihre Genehmigung erteilen).

Aufsichtsbehörden, die nicht an dem gegenseitigen Anerkennungsverfahren teilnehmen, haben eine Frist von einem Monat, um der Entscheidung der führenden Behörde zu widersprechen. Eine Fristverlängerung kann nur in Ausnahmefällen gewährt werden. Erfolgt keine Antwort der Behörde, so gilt dies als ihre Zustimmung.

10. Als letzten Schritt wird die führende Behörde das Antwortschreiben an das Unternehmen im Namen der betroffenen Aufsichtsbehörden unterzeichnen und ihr Ergebnis bekannt geben. Ab diesem Moment ist das Kooperations-Verfahren abgeschlossen und das Unternehmen kann die jeweiligen nationalen Behörden kontaktieren, um die erforderlichen Genehmigungen für die Verträge zu erhalten.