Verbandsklagebefugnis im Datenschutzrecht: Bundesregierung lehnt Vorschläge des Bundesrates ab

Bekanntlich wird derzeit ein Gesetzesentwurf der Bundesregierung zur Änderung des Unterlassungsklagengesetzes (UKlaG) im ordentlichen Gesetzgebungsverfahren diskutiert. Vor allem Verbraucherschutzverbände sollen in Zukunft die Möglichkeit erhalten, bestimmte datenschutzrechtswidrige Verarbeitungsvorgänge durch Unternehmen gerichtlich untersagen lassen zu können (hierzu soll ein neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG eingefügt werden).

Zu dem Regierungsentwurf (mein Beitrag dazu hier), als auch zu der Stellungnahme des Bundesrates hatte ich bereits ausführlich hier geschrieben. Der Gesetzesentwurf liegt nun im Bundestag und muss dort unter anderem im federführenden Ausschuss für Recht und Verbraucherschutz beraten werden.

Veröffentlicht wurde nun auch die Antwort der Bundesregierung auf die Stellungnahme des Bundesrates (in diesem PDF ab S. 42), in der der Bundesrat unter anderem eine Erweiterung des Tatbestandes des § 2 Abs. 2 S. 1 Nr. 11 UKlaG (angreifbar wären demnach nicht nur, wie von der Bundesregierung vorgeschlagen, bestimmte Datenverarbeitungen zu „kommerziellen“ Zwecken, sondern jegliche Datenverarbeitungen) sowie die Einführung eines allgemeinen Kopplungsverbotes von Einwilligung und Abschluss eines Vertrages in § 28 Abs. 3b BDSG vorsah.

Um es kurz zu machen: die Bundesregierung lehnt die Vorschläge des Bundesrates ab.

Zu der vorgeschlagenen Erweiterung des § 2 Abs. 2 S. 1 Nr. 11 UKlaG stellt die Bundesregierung fest, dass die Beschränkung auf Vorschriften, die die Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung zu bestimmten kommerziellen Zwecken betreffen,

vor allem auch im Interesse von kleinen und mittleren Unternehmen die Abmahn- und Klagemöglichkeiten soweit wie möglich konkretisieren

soll.

In Bezug auf den Vorschlag der Einführung eines allgemeinen Kopplungsverbotes im BDSG führt die Bundesregierung aus, dass § 28 BDSG voraussichtlich

ohnehin bald durch Regelungen der EU-Datenschutzgrundverordnung abgelöst werden wird

und die Bundesregierung eine Änderung der Vorschrift schon deshalb nicht für zweckmäßig hält. Mit dieser Argumentation könnte man freilich den gesamten eigenen Gesetzesentwurf torpedieren, da die geplante Datenschutzgrundverordnung auch eine Regelung zur Klagebefugnis von Verbraucherschutzverbänden vorsehen soll und als EU-Verordnung nationalen Vorschriften vorgehen wird.

Diesbezüglich ist jedoch noch zwischen Kommission, Parlament und Rat nicht geklärt, wie die konkrete Ausgestaltung erfolgen soll. Gerade im Rat wurde die Befugnis für Verbände, auf eigene Faust datenschutzrechtliche Verarbeitungstätigkeiten vor Gericht zu bringen, teilweise eingeschränkt. Im Endeffekt könnte es sich bei dem vorliegenden deutschen Gesetz also allein um einen Lückenfüller und eine Gesetzesänderung mit auf der Stirn stehendem Ablaufdatum handeln.

Die weiteren Verhandlungen im Bundestag werden vor dem Hintergrund der widerstreitenden Positionen sicherlich interessant werden.

Zuletzt sei noch darauf hingewiesen, dass die Bundesregierung nach eigenen Angaben in ihrer Antwort derzeit den allgemeinen gesetzgeberischen Handlungsbedarf im Telemediendatenschutz prüft und dazu gegebenenfalls noch ein gesondertes Gesetzgebungsverfahren in dieser Legislaturperiode einleiten wird. Auch Änderungen der datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) sind daher möglich, wobei sich auch hier dann die Frage nach einer zukünftigen Kollision mit der Datenschutzgrundverordnung stellen wird.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld “An…” versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Referentenentwurf des BMWi: Haftung von Host-Providern soll verschärft werden

Heute hat das Bundeswirtschaftsministerium den Referentenentwurf für ein Gesetz Änderung des Telemediengesetzes (TMG) veröffentlicht (PDF). Dabei geht es vor allem um den Versuch, die Störerhaftung beim öffentlichen Betrieb von WLANs zu regeln. Diesbezüglich hat der Entwurf sehr deutliche Kritik erfahren, u.a. im Blog bei dem Kollegen Thomas Stadler (Verschlimmbesserung: Der Gesetzesentwurf zur Störerhaftung von W-LAN-Betreibern) oder auf LTO durch den Kollegen Härting.

Der Referentenentwurf befasst sich jedoch nicht nur allein mit einer Anpassung des § 8 TMG und der Frage, welcher Anbieter wann für Rechtsverletzung haftet, die über den Zugang eines freien WLANs begangen werden, sondern geht darüber hinaus. Auch § 10 TMG (der die Haftungsprivilegierung für die Speicherung von fremden Informationen, also die typischen „Cloud“-Konstellationen, regelt) soll angepasst werden. Nach § 10 TMG sind Diensteanbieter, wie etwa Hosting-Anbieter, für fremde Informationen, die sie für einen Nutzer speichern nicht verantwortlich, sofern sie keine Kenntnis von der rechtswidrigen Handlung oder der Information haben. Im Falle von Schadenersatzansprüchen müssen dem Anbieter Tatsachen oder Umstände bekannt sein, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird. Vorgeschlagen wird nun die Schaffung eines neuen § 10 Abs. 2 TMG-E mit folgendem Wortlaut:

(2) Die Kenntnis von Tatsachen oder Umständen nach Absatz 1, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird, wird vermutet, wenn es sich bei dem angebotenen Dienst um einen besonders gefahrgeneigten Dienst handelt. Ein besonders gefahrgeneigter Dienst liegt in der Regel dann vor, wenn:

a) die Speicherung oder Verwendung der weit überwiegenden Zahl der gespeicherten Informationen rechtswidrig erfolgt oder

b) der Diensteanbieter durch eigene Maßnahmen gezielt die Gefahr einer rechtsverletzenden Nutzung fördert oder

c) in vom Diensteanbieter veranlassten Werbeauftritten mit der Nichtverfolgbarkeit bei Rechtsverstößen geworben wird oder

d) keine Möglichkeit besteht, rechtswidrige Inhalte durch den Berechtigten entfernen zu lassen.

Der Gedanke hinter der Neuregelung nach der Gesetzesbegründung:

Bei bestimmten Diensten kann nach der allgemeinen Lebenserfahrung davon ausgegangen werden, dass dem Diensteanbieter ausreichend viele Tatsachen oder Informationen bekannt sind, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird.

Bestimmte Fallkonstellationen, in denen aus Sicht des Gesetzgebers die Vermutung besteht, dass der Diensteanbieter eine entsprechende Kenntnis besitzt, sollen nun im § 10 Abs. 2 TMG-E festgeschrieben werden. Es geht im Prinzip also um eine gesetzliche Vermutung für eine Haftung des Hosting-Providers. Diese gesetzliche Vermutung (§ 292 ZPO) müsste im Fall des Falles der Anbieter dann entkräften können, indem er etwa beweist, dass er keine Kenntnis hatte. Dem Grundsatz möchte die Bundesregierung aber festlegen, dass Hosting-Anbieter, bei denen eine der oben aufgezählten Voraussetzungen (a) bis b)) vorliegt, für auf ihrer Plattform gespeicherte rechtswidrige Informationen haften. Die derzeit geltende Vermutung (keine Haftung für fremde Inhalte) soll also, zumindest für bestimmte Fälle um 180 Grad gedreht werden.

Datenschutzreform: Konzerninterne Datentransfers sollen erleichtert werden

Der Rat der Europäischen Union und insbesondere die Ratsarbeitsgruppe, die sich mit der Reform des europäischen Datenschutzrechts befasst (Dapix), sind in diesen Tagen nicht zu beneiden. Nach der Veröffentlichung von Verhandlungsdokumenten (auf statewatch.org und edri.org zu finden) zu den neuesten Änderungen an dem Entwurf für eine Datenschutz-Grundverordnung, ging ein Kritikgewitter auf die Dapix nieder (u.a. bei heise online, futurezone.at und Tagesspiegel).

Ob die Kritik berechtigt ist oder nicht, möchte ich hier nicht näher untersuchen. Mir ist bei einem flüchtigen Blick auf eines der betreffenden Dokumente (Kapitel 2, (Englisch) PDF) vielmehr ein aus der Praxis positiv zu bewertender Änderungsantrag aus Deutschland ins Auge gestochen.

In einem neuen Erwägungsgrund 38a schlägt Deutschland vor, dass in Zukunft Datenübermittlungen innerhalb von Unternehmensgruppen bzw. eines Konzerns, grundsätzlich aufgrund eines berechtigten Interesses der Verantwortlichen Stelle erlaubt sein sollen. Voraussetzung ist unter anderem, dass die Übermittlung für verwaltungsinterne bzw. administrative Zwecke erfolgt.

Das Thema des sog. Konzernprivilegs (bzw. sein Fehlen im Datenschutzrecht) wäre mit dieser Änderung zumindest eingeschränkt erledigt. Derzeit müssen auch Datentransfers in einer Unternehmensgruppe auf eine Einwilligung oder einen gesetzlichen Erlaubnistatbestand gestützt werden. Es existiert kein Privileg des konzerninternen Datentransfers. Es handelt sich datenschutzrechtlich um eine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 BDSG. Der deutsche Vorschlag würde nun zwar einem Datentransfers nicht seine Natur einer Übermittlung nach dem Gesetz nehmen (daher meine Wortwahl des eingeschränkten Konzernprivilegs). Jedoch wäre diese Übermittlung in bestimmten Fällen von vornherein erlaubt.

Einen ähnlichen Vorschlag, jedoch nicht nur in der Form eines Erwägungsgrundes, sondern direkt als einen neuen Art. 22 Abs. 3a, hat auch das Europäische Parlament in seiner Entschließung zur Datenschutz-Grundverordnung im März 2014 gemacht.

Was letztendlich von diesem Vorschlag der deutschen Delegation im Rat übrig bleibt, muss man abwarten. Denn über diesen Änderungsantrag dürfte noch nicht in Gänze zwischen den Mitgliedstaaten diskutiert worden sein. Sollte es ein solcher Erwägungsgrund jedoch in die Verhandlungen zwischen Kommission, Parlament und Rat schaffen, so stünden die Chancen aufgrund des ähnlichen Vorschlags aus dem Parlament, bestimmt nicht schlecht, dass wir am Ende zumindest ein „eingeschränktes Konzernprivileg“ erhalten.

UK: Google einigt sich mit Aufsichtsbehörde auf Änderungen beim Datenschutz

Am 30. Januar 2015 gab die englische Datenschutzbehörde (ICO) bekannt, dass man sich im Rahmen eines Prüfverfahrens, welches die Verarbeitung von Nutzerdaten bei Google und den Inhalt der Datenschutzerklärung zum Gegenstand hatte, darüber verständigt hat, dass das US-Unternehmen eine Verpflichtungserklärung unterzeichnet und die Behörde im Gegenzug keine Zwangsmaßnahmen durchführt.

Hintergrund des Verfahrens ist eine europaweite und seit Jahren andauernde Überprüfung der Datenschutzerklärung und Verarbeitungstätigkeiten von Google, welche in verschiedenen europäischen Ländern von den jeweils zuständigen nationalen Behörden vorgenommen wurde und teilweise auch noch wird. Zuletzt hatte die niederländische Datenschutzbehörde für Aufsehen gesorgt, nachdem sie im Dezember 2014 ankündigte, gegen Google ein Bußgeld zu verhängen, welches mit fortschreitender Zeit bis zu 15 Million Euro betragen kann (hierzu mein Beitrag).

Die nun in England unterzeichnete Verpflichtungserklärung (PDF) beinhaltet unter anderem folgende Maßnahmen:

  • Google sorgt für eine fortgesetzte Bewertung der Auswirkungen zukünftiger Veränderungen der Datenverarbeitungsprozesse auf die Privatsphäre der Nutzer
  • Wesentliche Änderungen der Datenschutzerklärung sollen von Spezialisten für die Nutzererwartung begutachtet und mit repräsentativen Gruppen von Nutzern getestet werden
  • Auch in Zukunft wird Google proaktiv mit der Aufsichtsbehörde in England zusammenarbeiten und vor wesentlichen Änderungen der Datenverarbeitungsprozesse die Behörde rechtzeitig hierauf hinweisen

Zudem verpflichtet sich Google spezifische Änderungen an der Datenschutzerklärung bis zum 30. Juni 2015 vorzunehmen. Zu diesen Anpassungen gehören unter anderem:

  •  Google wird die Erreichbarkeit der Datenschutzhinweise verbessern
  • Google wird die Informationen über die Datenverarbeitung in der Datenschutzerklärung verbessern und deutlicher über die Zwecke der Verarbeitung und die Arten der Daten informieren
  • Google wird den Nutzern Informationen dazu bereitstellen, wie sie ihre gesetzlichen Rechte ausüben können
  • Zudem wird Google zwei Abschnitte der Nutzungsbedingungen (unter anderem jenen zur Verarbeitung von Daten im Rahmen des E-Mail-Dienstes) in die Datenschutzerklärung integrieren
  • Auch wird Google die gesamte Datenschutzerklärung mit Blick auf unscharfe und unbestimmte Begriffe und Informationen überarbeiten
  • Google wird eine überarbeitete Version der Account-Einstellungen entwickeln, welche es den Nutzern ermöglichen verschiedene Kontrollmöglichkeiten zu den Diensten auszuüben

Die Verpflichtungserklärung und die dort enthaltenen Vorgaben gelten nur für die englische Version der Datenschutzerklärung von Google.

Auch die Versammlung der europäischen Datenschützer, die sog. Art. 29 Gruppe, hatte im letzten Jahr Vorschläge veröffentlicht, wie Google seine Datenschutzerklärungen ihrer Ansicht nach verbessern könne (hierzu mein Beitrag). Die Verpflichtungserklärung aus England kopiert einige der dort entwickelten „Hausaufgaben“. In Deutschland läuft in diesem Zusammenhang derzeit ein durch den Hamburgischen Beauftragten für Datenschutz angestrengtes Verwaltungsverfahren gegen Google.

Datenschutz-Deutschland: Geprägt von Uneinigkeit

Die Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg, dass Datenschutzverstöße von Kommunen im Rahmen des Einsatzes des Analysetools Google Analytics nach Überprüfungen abgestellt wurden, hat mich stutzig gemacht. Anhand dieses Beispiels “Google Analytics” kann man jedoch erkennen, mit welchen tatsächlichen Schwierigkeiten sowohl Unternehmen als auch Behörden derzeit bei der Beachtung der gesetzlichen Vorgaben zum Datenschutz umgehen müssen, wenn sie weder völlig auf neue Technologien verzichten möchten, noch gesetzliche Standards völlig unbeachtet lassen wollen.

Einheitliche Position der Behörden
Für den privaten Bereich hatten sich alle deutschen Landesdatenschutzbehörden auf ein einheitliches Vorgehen in Sachen „Google Analytics“ verständigt. Unter Federführung des Hamburger Datenschützers wurde ein Verfahren mit Google abgestimmt, welches den (nach Ansicht der Behörden) datenschutzrechtskonformen Einsatz des Tools ermöglicht. Ein solches Ergebnis ist aus Sicht der Praxis und in diesem Fall der privatwirtschaftlichen Betreiber von Webseiten absolut zu begrüßen. Denn es wäre kaum verständlich und vermittelbar, warum etwa ein Unternehmen in Bayern Google Analytics nutzen dürfte und z. B. ein Unternehmen in Hessen nicht. Daneben könnten sich aus einer solchen Situation auch wirtschaftliche Nach- bzw. Vorteile für die Unternehmen ergeben, je nachdem in welchem Bundesland sie sitzen und welche Landesbehörde zuständig ist.

Aber: der öffentliche Bereich
Die angesprochene Mitteilung der Landesdatenschutzbeauftragten aus Brandenburg betrifft nun aber öffentliche Stellen. Hier gelten (teilweise) andere Datenschutzgesetze als im privatwirtschaftlichen Bereich. Einige sind aber auch gleich, gerade was die hier in Rede stehenden Voraussetzungen des § 15 Abs. 3 TMG betrifft (vgl. etwa 16. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, S. 122, PDF). Nach Aussage in der Pressemitteilung der Landesdatenschutzbeauftragten in Brandenburg schließt der „Einsatz von Google Analytics durch öffentliche Stellen in Brandenburg“ die Möglichkeit des datenschutzgerechten Betriebes von Internetangeboten aus. Man geht also von der absoluten Unzulässigkeit aus.

Doch warum soll hier etwas anderes gelten, als im privaten Bereich? Können öffentliche Stellen nicht auf die durch die Datenschutzbehörden mit Google ausgehandelten Kriterien zurückgreifen? Auch der Landesdatenschützer in Hessen geht von der Unzulässigkeit des Einsatzes von Google Analytics durch öffentliche Stellen aus. Grund hierfür ist oft, dass im öffentlichen Datenschutzrecht spezielle Anforderungen an die Auftragsdatenverarbeitung gestellt werden, die Google nicht erfüllen kann. Auf der anderen Seite ging bereits im Jahre 2010 der Bayerischen Landesbeauftragten für den Datenschutz davon aus, dass Google Analytics auch durch Behörden grundsätzlich rechtskonform eingesetzt werden kann. In einer Pressemitteilung, die im Rahmen der Prüfung bayerischer Behörden entstand, führt er aus:

Bei der Anfang November durchgeführten Nachprüfung hat sich gezeigt, dass nunmehr nur noch 159 bayerische Behörden Google Analytics einsetzen. 25 dieser Behörden tun dies in Verbindung mit einer Anonymisierungsfunktion, eine datenschutzkonforme Vorgehensweise ist danach zumindest möglich. (Hervorhebung durch mich).

Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass für öffentliche Stellen in Hamburg andere rechtliche Voraussetzungen und zusätzliche Anforderungen gelten, die einen Einsatz von Google Analytics oder anderer Tracking-Dienste nur eingeschränkt ermöglichen (PDF). Ausgeschlossen ist der Einsatz danach aber nicht, wie sich etwa am Beispiel der Webseite des Hamburger Senats zeigt, auf der Google Analytics zum Einsatz kommt.

Quintessenz
Was möchte ich mit diesen Feststellungen sagen? Offensichtlich ist man sich bezüglich der Voraussetzungen des Einsatzes von Google Analytics in den Datenschutzbehörden in Deutschland uneins, was jedoch leider für den praktischen Umgang mit den Datenschutzgesetzen ein erhebliches und Rechtsunsicherheit schaffendes Problem darstellen kann. Gerade wenn solche landesspezifischen Abweichungen im Bereich der Durchsetzung des Datenschutzrechts in der Privatwirtschaft entstehen. Nach dem Motto: “Warum dürfen die Bayern das und wir nicht?”. Im konkreten Fall betrifft es beispielhaft das Thema „Google Analytics“ und den öffentlichen Bereich. Doch abweichende Rechtsanschauungen und damit einhergehend eine abweichende Rechtsdurchsetzung (immerhin mit der Möglichkeit Bußgelder zu verhängen), treten ebenso im privatwirtschaftlichen Bereich zu Tage. Man muss daher im Interesse aller Beteiligten hoffen, dass ein einheitliches Vorgehen der Aufsichtsbehörden in Zukunft, ja wenn nicht sogar eine gesetzliche Pflicht (man denke an die Vorgaben der Datenschutz-Grundverordnung zum sog. „one-stop-shop“) zum kohärenten Vollzug der Datenschutzgesetze, die Regel sein wird.

Bundesregierung: Geltende Datenschutzvorgaben für Werbung & Marketing sind ausreichend

Die Bundesregierung hat mit Datum vom 6. Januar 2015 einen Bericht „über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes (BSDG) im Rahmen der zweiten BDSG-Novelle“ veröffentlicht (PDF) (BT-Drs. 18/3707).

Novellierung des BDSG
Die §§ 28 und 29 BDSG wurden in der Novelle des Jahres 2009, vor allem mit Blick auf die Neureglung des Datenumgangs im Adresshandel und bei Werbung, angepasst und nach § 48 BDSG hat die Bundesregierung den Auftrag, bis zum 31. Dezember 2014 über die Auswirkungen der Gesetzesänderungen zu unterrichten. Der nun vorliegende Bericht gibt zum einen Überblick darüber, wie aus Sicht der Aufsichtsbehörden die Vorgaben der §§ 28 und 29 BDSG eingehalten werden und wo diese noch Defizite sehen. Auch wird auf Stellungnahmen aus der Wirtschaft eingegangen.

Häufigste Verstöße
Laut den Angaben der deutschen Datenschutzbehörden finden die meisten Verstöße gegen das Datenschutzrecht (bzw. teilweise auch die Vorgaben des § 7 UWG) aufgrund folgender Konstellationen statt:

Interessant ist vor allem das durch die Bundesregierung gezogene Fazit in dem Bericht. Danach wurde das Ziel der zweiten BDSG-Novelle grundsätzlich erreicht. Die strukturellen Veränderungen im Rahmen der Novelle haben, so die Bundesregierung

den Anfall von Daten gesenkt, ihren Schutz, soweit sie anfallen, gesteigert und die Transparenz für die Betroffenen sowie ihre Widerrufsrechte gestärkt.

Zwar verneint die Bundesregierung nicht, dass es auch noch Probleme bei der Einhaltung der Vorgaben der §§ 28, 29 BDSG in der Praxis gebe. Diese Probleme beziehen sich jedoch vor allem auf Rechtsverstöße. Man könnte also auch sagen, dass eine Gesetzesänderung nicht daran ändert wird, dass auch in Zukunft gegen gesetzliche Vorgaben verstoßen werde. Daher schlägt auch die Bundesregierung vor, dass diese noch bestehenden Probleme vor allem durch stärkere Kontrollen und Sanktionierungen der Aufsichtsbehörden verringert werden sollen. „Legislative Abhilfemöglichkeiten“ sieht die Bundesregierung als wenig zielführend an.

Auch geht der Bericht auf die Auswirkungen der geplanten europäischen Datenschutz-Grundverordnung ein. Die klare Aussage der Bundesregierung:

Unabhängig von seinem Inhalt wird dieser EU-Rechtsakt erhebliche Auswirkungen auf das nationale Datenschutzrecht haben.

Fazit
Datenschutzrecht und Werbung schließen sich sicherlich nicht aus. Dennoch gilt es gerade in diesem Bereich besonderen Wert auf die Einhaltung der gesetzlichen Anforderungen zu legen. Die bayerische Datenschutzbehörde hatte erst im November 2014 angekündigt, dass sie in Zukunft wird das BayLDA ihre eher zurückhaltende Praxis bei der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren werde. Erste Hinweise und Hilfestellungen zum Thema „Werbung und Datenschutz“ lassen sich etwa den „Anwendungshinweisen der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke“ (PDF) entnehmen.

IT-Sicherheitsgesetz: Geplante Änderungen und Auswirkungen für Webseitenbetreiber

Am 17.12.2014 hat die Bundesregierung den Entwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, PDF) beschlossen. Nach der Pressemitteilung des federführend zuständigen Bundesinnenministeriums, werden in den Entwurf, zur Steigerung der IT-Sicherheit im Internet, die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht. Sie sollen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten.

Geplant sind auch Änderungen des Telemediengesetzes (TMG), welches im Grundsatz für alle Webseiten oder andere Internetangebote, aber etwa auch Apps gilt. Die Begründung des Gesetzentwurfes führt einleitend zu den vorgeschlagenen Anpassungen des TMG aus, dass wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste, die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt werden.

Nach dem Entwurf des IT-Sicherheitsgesetzes wird in § 13 TMG ein neuer Absatz 7 eingefügt (nachfolgend § 13 Abs. 7 TMG-E), der folgenden Wortlaut hat:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

„Geschäftsmäßig“
Die neuen Verpflichtungen zur Implementierung technischer und organisatorischen Maßnahmen sollen nur für „geschäftsmäßig angebotene Telemedien“ gelten. Nach der Gesetzesbegründung ist ein Angebot dann geschäftsmäßig, „wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt“. Bei gegen Entgelt angebotenen Telemedien ist diese Voraussetzung regelmäßig erfüllt. Die Begründung führt beispielhaft „werbefinanzierte Webseiten“ an. Ausdrücklich ausgeschlossen von dem Anwendungsbereich des neuen § 13 Abs. 7 TMG-E soll jedoch das „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“ sein. Daher dürfte etwa ein privat betriebener Blog nicht der neuen Pflicht unterliegen, selbst wenn dieser mit gewisser Nachhaltigkeit und auch planmäßig betrieben wird. Denn nach der Gesetzesbegründung reicht es für die Nicht-Anwendbarkeit des neuen Abs. 7 aus, dass das Angebot nicht-kommerziell durch einen Privaten betrieben wird.

Zumutbarkeit von Schutzmaßnahmen
Nach dem geplanten Abs. 7 müssen Diensteanbieter (also etwa Webseitenbetreiber von Onlineshops) kumulativ (!) sicherstellen, dass 1) kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist, 2) diese gegen Verletzungen des Schutzes personenbezogener Daten und 3) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Die drei Schutzpflichten sind mit dem Wort „und“ verbunden, woraus sich eine notwendige Erfüllung aller drei Voraussetzungen ergibt. Ein Diensteanbieter wird sich also grundsätzlich nicht darauf berufen können, er habe seinen Dienst doch besonders gegen unerlaubte Zugriffe geschützt und dass dies ausreichen müsse.

Da der damit einhergehende tatsächliche Aufwand für Diensteanbieter, je nach den bereits implementierten Schutzmaßnahmen, nicht unerheblich sein dürfte, sieht Abs. 7 jedoch als Tatbestandsvoraussetzung ebenso das Kriterium der „Zumutbarkeit“ für den Diensteanbieter vor. Die entsprechenden Vorkehrungen müssen für den konkreten Diensteanbieter technisch möglich und wirtschaftlich zumutbar sind. Zu hohe Umsetzungskosten stellen daher etwa ein Kriterium dar, welcher der Webseitenbetreiber rechtmäßigerweise anführen darf, um nur diejenigen technischen und organisatorischen Maßnahmen umzusetzen, die er sich auch wirklich leisten kann. Der Betreiber einer Webseite oder eine anderen Internetdienstes ist also nicht dazu verpflichtet, sein Unternehmen mit finanziellen Verlusten zu belasten, die das Angebot selbst unrentabel machen würde oder gar seine Existenz gefährden. Laut der Begründung des Gesetzentwurfes müssen die „Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen“.

Pflicht zur Anpassung von Kooperationsverträgen?
Im Hinblick auf Webseiten führt die Begründung des Gesetzentwurfes aus, dass es ein wesentliches Ziel des neuen Abs. 7 ist, das unbemerkte Herunterladen von Schadsoftware beim Besuch einer präparierten Webseite zu unterbinden. Webseitenbetreiber sollten daher regelmäßig die für die Erstellung und den Betrieb der Webseite verwendete Software aktualisieren, da hierdurch die Sicherheit erhöht werde.

Häufig finanzieren Webseitenbetreiber ihr Angebot mit Werbeanzeigen. Der Inhalt der Werbebanner ist jedoch meist nicht ein originär eigener. Vielmehr wird dieser über Dritte, etwa die Betreiber von Werbenetzwerken, bezogen. Der Webseitenbetreiber hat also auf den Inhalt der Werbebanner meist keinen direkten, insbesondere technischen Einfluss (außer das Banner komplett zu entfernen). Es besteht jedoch technisch die Möglichkeit, dass über die Werbeanzeigen schädliche Inhalte geladen werden. Auch in dieser Konstellation sieht der Gesetzesentwurf den Webseitenbetreiber jedoch zumindest in einer Teilpflicht. Gegen das Laden und Einspeisen schädlicher Skripte oder von Software über Drittinhalte innerhalb des eigenen Angebotes, sind nach der Begründung des Gesetzesentwurfs „organisatorische Vorkehrungen zu treffen“. Nach Auffassung der Bundesregierung gehört hierzu beispielsweise, dass Werbedienstleister, denen Werbefläche eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen verpflichtet werden.

Bußgeldbewährung
Ein fahrlässiger oder vorsätzlicher Verstoß gegen § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 a) TMG-E (nicht die Nr. 2 b)) soll zudem eine Ordnungswidrigkeit darstellen (§ 16 Abs. 2 Nr. 3 TMG) und nach § 16 Abs. 3 TMG die Möglichkeit eines Bußgeldes in Höhe von 50.000 EUR nach sich ziehen. Beachtlich ist insofern, dass damit nicht nur das komplette Fehlen von technischen und organisatorischen Maßnahmen eine Ordnungswidrigkeit darstellt. Die Begründung des Gesetzesentwurfs spricht ausdrücklich davon, dass „damit auch der Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter, die nicht den Stand der Technik berücksichtigen“ bußgeldbewährt sein soll.

Bis zu 15 Mio. Euro: Niederländische Datenschutzbehörde verhängt Zwangsgeld gegen Google

Die niederländische Datenschutzbehörde (CBP) gab gestern bekannt, dass sie im Zuge behördlicher Anordnungen gegenüber Google ein Zwangsgeld verhängt habe, dessen Höhe bis zu einem Betrag von 15 Mio. Euro steigen kann.

Nach Angaben der Behörde bietet Google seine Dienste in den Niederlanden unter Verstoß gegen das nationale Datenschutzrecht an. Im November 2013 hat die CBP ein umfassendes Gutachten (PDF, Englisch) veröffentlicht, in dem die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch die Dienste von Google untersucht wird. Auf der Grundlage der Ergebnisse dieses Gutachtens geht die Behörde nun gegen das amerikanische Unternehmen vor.

Die CBP fordert Google insbesondere zu drei umzusetzenden Maßnahmen auf:

  • Das Unternehmen muss die Einwilligung seiner Nutzer einholen, wenn es personenbezogene Daten aus verschiedenen Diensten kombiniert. Die Einwilligung müsse „ohne jeden Zweifel“ erfolgen, was derzeit nicht sichergestellt sei. So stört sich die Behörde insbesondere daran, dass Google Informationen zu dieser Verknüpfung von Daten in seinen Nutzungsbedingungen und der Datenschutzerklärung bereitstelle, was jedoch nicht ausreichend sei.
  • Zudem müssten die Informationen in den Datenschutzerklärungen darüber, wie verschiedene Dienste von Google personenbezogene Daten nutzen, deutlicher und umfassender bereitgestellt werden.
  • Auch solle Google deutlich machen, dass es sich bei YouTube um einen Dienst von Google handelt. In den Niederlanden habe Google hinsichtlich dieser letzten Forderungen bereits Maßnahmen ergriffen.

Das Vorgehen der CBP steht im Zusammenhang mit einer europaweit angelegten Prüfung der Datenschutzbestimmungen und Datenverarbeitung durch Google, die seit 2012 durch die französische Datenschutzbehörde koordiniert und im Rahmen der sog. Art. 29 Datenschutzgruppe durchgeführt wird. In mehreren Ländern haben Datenschutzbehörden bereits verwaltungsrechtliche Verfahren gegen Google eröffnet. So etwa die spanische Datenschutzbehörde (mein Beitrag) als auch die französische Aufsichtsbehörde (mein Beitrag). In Deutschland hat der Hamburgische Datenschutzbeauftragte im September 2014 eine Anordnung gegen das Unternehmen erlassen.

Erst jüngst hat die Art. 29 Datenschutzgruppe im Zusammenhang mit diesen Verfahren auch eine Stellungnahme veröffentlicht, wie aus ihrer Sicht die Datenschutzerklärung von Google angepasst werden könnte, um den datenschutzrechtlichen Ansprüchen in Europe zu genügen. Man könnte auch von einem “Hausaufagbenheft” für Google sprechen (mein Beitrag dazu).

In den Niederlanden hat Google nun bis Februar 2015 Zeit, um die Forderungen der CBP umzusetzen. Sollte das Unternehmen dem nicht nachkommen, so kündigt die Behörde bereits an, dass ein Zwangsgeld bis zu einer Höhe von 15 Mio. Euro verhängt werden könnte.

Hamburger Datenschützer: Datenschutzverstöße sollten generell abmahnbar sein

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Caspar, hat sich in einer Stellungnahme (PDF) zur Anhörung der Monopolkommission zur Vorbereitung eines Sondergutachtens zum Wettbewerb auf digitalen Märkten, zu Fragen im Schnittfeld zwischen Datenschutz- und Wettbewerbsrecht geäußert. Zum einen geht es hierbei um marktbeherrschende Stellungen von Unternehmen, die diese möglicherweise auch durch Datenschutzverstöße erlangen, festigen oder ausbauen. Zum anderen äußert sich der HmbBfDI kritisch zu dem (immer noch umstrittenen Verhältnis) zwischen Wettbewerbsrecht und dem Datenschutzrecht, vor allem inwiefern Verstöße gegen datenschutzrechtliche Vorgaben durch Wettbewerber nach dem UWG abgemahnt werden können.

Marktmacht und Datenschutz
Laut der Stellungnahme des HmbBfDI tendiert eine Datenmacht dazu, die Marktmacht von Unternehmen zu festigen. Prof. Caspar kritisiert mit Blick auf die großen Anbieter von sozialen Netzwerken und Suchmaschinen, dass für die Nutzer, anders als bei der Wahl eines Telekommunikationsanbieters, ein Anbieterwechsel nur unter Verlust der gesammelten Kontakte und der eigenen Daten möglich sei. Es bestehe zumeist keine Durchlässigkeit hin zu anderen Dienstleistern auf dem Markt. Der Datenschützer begrüßt daher den in der geplanten europäischen Datenschutz-Grundverordnung geplanten Ansatz, ein Recht auf „Datenportabilität“ einzuführen. Die Möglichkeit, die eigenen Daten beim Anbieterwechsel mitzunehmen, könne nach Ansicht von Prof. Caspar wesentlich dazu beitragen, den Wettbewerb auf digitalen Märkten zu stärken. Auch eine Interoperabilität zwischen den verschiedenen Anbietern fordert der Datenschutzbeauftragte.

Intransparente Strukturen
Zudem kritisiert Prof. Caspar, dass Marktmacht und Datenmacht gleichsam durch intransparente Strukturen der von den Unternehmen verfolgten Geschäftsmodelle begünstigt werden. Er bezieht sich in seiner Stellungnahme etwa auf die Betreiber von Suchmaschinen und die „von außen nicht ohne weiteres nachvollziehbare Platzierung in den Trefferlisten“. Im Prinzip wäre es seiner Ansicht nach erforderlich, dass die Suchalgorithmen offengelegt werden. Auch eine andere, kurzfristig zu erreichende Verbesserung schlägt er vor: durch die Vorgabe einer farbigen Unterlegung von konzerneigenen Angeboten bei den Suchtreffern würde eine größere Transparenz für Nutzer hergestellt.

Unter der Überschrift der „intransparenten Strukturen“ bemängelt Prof. Caspar zudem die Schwierigkeit für Nutzer zu erkennen, „ob und zu welchen Zwecken die Verwendung der von ihnen zur Verfügung gestellten persönlichen Daten durch die Internetdienstleister erfolgt“. Beispielhaft geht er bei seiner Stellungnahme auf die Datenschutzbestimmungen von Netflix ein. Diesen attestiert er eine „schwammige Zweckbindungsbestimmung“ und einen erweiternden Zusatz, „der die Datenschutzfunktion weitgehend ad absurdum führt“. Diese von Prof. Caspar bemängelte, fehlende Transparenz werde seiner Einschätzung nach „von marktrelevanten Unternehmen nicht zuletzt zur Festigung und Ausdehnung der eigenen Markt- und Datenmacht genutzt“.

Datenschutzwidrige Praxis und Wettbewerbsrecht
Auch geht der Datenschutzbeauftragte darauf ein, dass (vermeintliche) datenschutzwidrige Praktiken seiner Ansicht nach zu einem Wettbewerbsvorteil führen können. Gerade auf digitalen Märkten wirke sich die Nichtbeachtung von Vorgaben des Datenschutzes auch auf die Wettbewerbspositionen der Marktteilnehmer aus. Das bisherige Nebeneinander zwischen Wettbewerbs-und Datenschutzrecht erschwere es Wettbewerbern jedoch bislang, Datenschutzverstöße über das UWG erfolgreich und rechtssicher geltend zu machen. Die Rechtsprechung und Literaturmeinungen zu dieser Thematik gehen auseinander. Erforderlich für ein Vorgehen nach dem UWG ist der Verstoß gegen eine Marktverhaltensvorschrift im Sinne des § 4 Nr. 11 UWG. Jedoch existieren beispielsweise divergierende Gerichtsentscheidungen zu der Frage, ob ein Verstoß gegen die Regelung des § 4 Abs. 1 BDSG (der eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur erlaubt, soweit dies nach dem BDSG oder eine andere Rechtsvorschrift gestattet ist oder der Betroffene eingewilligt hat) auch einen Verstoß gegen das Wettbewerbsrecht darstellt.

Prof. Caspar fordert daher in seiner Stellungnahme, dass in Zukunft darüber nachgedacht werden sollte, „den Verstoß gegen Datenschutzregeln mit einem Wettbewerbsverstoß gleichzusetzen“. Hierzu bedürfe es jedoch einer Initiative des Gesetzgebers.