Google-Urteil: Europäische Datenschützer entwickeln Netzwerk für Beschwerden

Posted on by

Die europäischen Datenschutzbehörden, versammelt in der sog. Artikel 29 Gruppe, haben gestern bekannt gegeben (Pressemitteilung, PDF), dass als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Google aus dem Mai diesen Jahres (C-131/12) , Maßnahmen ergriffen werden sollen, um Beschwerden koordiniert bearbeiten zu können.

Nachdem sich die Vertreter der europäischen Datenschutzbehörden im Juli mit den Anbietern der großen Internetsuchmaschinen in Brüssel trafen (Pressemitteilung, PDF), um über die Folgen und die Umsetzung des Google-Urteils in der Praxis zu beraten, entwickeln die Aufsichtsbehörden nun ein gemeinsames Verfahren, mit dem Beschwerden von Betroffenen bearbeitet werden sollen, deren Antrag auf Entfernung von Suchergebnissen abgelehnt wurde.

Nähere Details des europaweit geplanten Systems der Behörden sind noch nicht bekannt. Laut der Pressemitteilung werden wohl in jedem Land besondere Kontaktpersonen in den Behörden benannt, die den Informationsaustausch und Kontakt mit den Kollegen in ausländischen Datenschutzbehörden sicherstellen sollen. Der Artikel 29 Gruppe geht es vor allem darum, eine einheitliche Herangehensweise zu entwickeln, so dass gleich gelagerte Fälle auch gleich entschieden werden können. Die von den Aufsichtsbehörden anzulegenden Prüfkriterien sollen auf diese Weise vereinheitlicht werden. Innerhalb dieses Netzwerkes soll ein gemeinsames Archiv von Entscheidungen der Behörden in anderen Beschwerdeverfahren vorgehalten werden.

Das, wohl virtuell aufgesetzte System (im Prinzip dürfte es sich um eine gemeinsame Datenbank handeln), soll zudem Bedienelemente und Funktionen enthalten, damit bei einer Beschwerde europaweit nach vergleichbaren Verfahren gesucht werden kann oder neue bzw. besonders schwierige Sachverhalte identifiziert werden können.

Die Artikel 29 Gruppe versucht begrüßenswerter Weise, die Beschwerdeverfahren europaweit soweit als möglich zu vereinheitlichen. Abweichende Entscheidungen zu ähnlich gelagerten Fällen in verschiedenen europäischen Ländern würden bei Betroffenen wohl für Verwirrung sorgen. Auf der anderen Seite muss man auch anerkennen, dass es sich bei den Beschwerden im Rahmen des „Rechts auf Vergessenwerden“ häufig um schwierige und komplexe Abwägungsfragen handeln wird. Eine schablonenhafte Herangehensweise scheint mir insoweit nicht unbedingt durchweg als der richtige Weg. Die vorzunehmende Güterabwägung (Datenschutz einerseits, Meinungsfreiheit und Recht auf Informationszugang anderseits) sollte keinem vorher feststehenden Ergebnis zum Opfer fallen. Die Verständigung auf besonders zu beachtende Kriterien im Rahmen der Abwägung ist sicher nicht verkehrt. Doch sollte mit derartigen Methoden äußerst sorgsam umgegangen werden, wenn man das Grundprinzip einer auf den Einzelfall beschränkten Güterabwägung von kollidierenden Grundrechten nicht langsam abbauen möchte.

Eine kleine Randnotiz: die Artikel 29 Gruppe spricht nicht mehr von dem „Recht auf Vergessenwerden“ (right to be forgotten), sondern von einem Recht „entlistet zu werden“ (right to be de-listed).

Bundesregierung zu Google’s Marktmacht: Geschäftspraxis grundsätzlich nicht verboten

Posted on by

Die Diskussion um eine marktbeherrschende Stellung von Google in Europa bzw. Deutschland und mögliche kartellrechtliche Konsequenzen, diente der Fraktion Bündnis 90/Die Grünen im deutschen Bundestag für eine kleine Anfrage an die Bundesregierung. Die Antwort vom 11. September 2014 ist nun online abrufbar (BT-Drs. 18/2520, PDF).

Wirklich neue oder überraschende Aussagen trifft die Bundesregierung in ihrer Antwort nicht. Dennoch lohnt sich für jeden interessierten Leser, der sich mit dem Themenkomplex rund um Google, seiner wirtschaftliche Position in Europa und den kartellrechtlichen Implikationen befasst, eine Lektüre.

Die Bundesregierung stellt in ihrer Antwort zunächst klar: „Auch marktbeherrschenden Unternehmen ist es erlaubt, in verschiedenen Geschäftsfeldern tätig zu sein.“

Danach wird in aller Kürze dargelegt, wann eine marktbeherrschende Stellung unter dem Kartellrecht angegriffen werden könnte. Daneben verweist die Bundesregierung auch auf das Gesetz gegen den unlauteren Wettbewerb (UWG), welches eine Tätigkeit in mehreren Geschäftsfeldern ebenfalls nicht grundsätzlich verbietet, solange die Vorgaben des Gesetzes beachtet werden. Ein Verstoß gegen das Wettbewerbsrecht könnte z. B. dann vorliegen, wenn Mitbewerber gezielt behindert oder irreführende (Werbe-)Aussagen getroffen werden.

Zu einer möglichen Reform des nationalen und europäischen Kartellrechts, besonders mit Blick auf das Internet, äußert sich die Bundesregierung zurückhaltend. Derzeit biete dies

grundsätzlich ein ausreichendes Instrumentarium, um einem
missbräuchlichen Verhalten marktbeherrschender Internetplattformen zu begegnen.

Von Interesse könnte dann noch die Antwort der Bundesregierung auf die Frage sein, was Bundeswirtschaftsminister Gabriel in seinem Beitrag in der FAZ mit einer „kartellrechtsähnlichen Regulierung von Internetplattformen“ meinte. Hierzu gibt die Bundesregierung in ihrer Antwort an, dass für den Fall,

dass auch in Anbetracht des laufenden Kartellverfahrens der Europäischen Kommission gegen Google Probleme fortbestehen, die als nicht hinnehmbar zu bewerten sind,

die Bundesregierung die Notwendigkeit einer Anpassung oder Modifizierung der verfügbaren kartellrechtlichen Instrumente prüfen wird.

Dies schließt die Frage ein, wie die Diskriminierung von Wettbewerbern durch marktbeherrschende Internet-Plattformbetreiber verhindert und ein diskriminierungsfreier Zugang zu Distributionswegen und Inhalten sichergestellt werden können.

Häufiger wurde durch Politiker in der Öffentlichkeit auch laut über eine „Zerschlagung“ des amerikanischen Unternehmens nachgedacht. Die Bundesregierung weist darauf hin, dass eine Entflechtung von Unternehmen bereits nach dem geltenden deutschen und europäischen Kartellrecht als Sanktion für ein verbotenes Verhalten in Betracht kommt,

wenn keine wirksameren Maßnahmen für die Abstellung des Verhaltens zur Verfügung stehen (ultima ratio). Für die Anordnung sind die Kartellbehörden zuständig.

Nach einem tatsächlich bestehenden Aktionsplan klingt diese Aussage zumindest nicht. Vor diesem Hintergrund sei auch noch einmal auf das im Juli 2014 erschienene Hauptgutachten der Monopolkommission hingewiesen (mein Beitrag hierzu). Die Monopolkommission sprach sich dort für eine Versachlichung der Debatte aus und äußerte auch Zweifel an öffentlichen Behauptungen, wie etwa dass es sich bei den derzeit bestehenden Internetsuchmaschinen oder sozialen Netzwerken um „wesentliche Einrichtungen“ im Sinne des Kartellrechts handele.

Die Bundesregierung verweist in ihrer Antwort zumeist auf das laufende Kartellverfahren bei der Europäischen Kommission gegen Google. Von dessen Ausgang scheint sie maßgeblich weitere eigene Schritte abhängig zu machen wollen. Zumindest scheint die deutsche Regierung, ganz im Sinne der Monopolkommission, eine Versachlichung der Debatte anzustreben und vorerst keine nationalen Alleingänge betreiben zu wollen.

Apple will Fitness-Daten der User schützen

Posted on by

Mit der ab morgen verfügbaren neuen Version des Betriebssystems iOS 8 führt Apple auch das sog. HealthKit ein. Dabei handelt es sich um eine für App-Entwickler zugängliche Plattform, auf der Gesundheitsdaten von Nutzern gespeichert werden, die zuvor durch eine App (etwa „Health“ von Apple selbst oder auch Apps von Drittanbietern) auf dem Smartphone erhoben wurden.

Nach einem Bericht der Washington Post wird Apple in Bezug auf die so erhobenen und gespeicherten Gesundheitsdaten besondere Schutzvorkehrungen treffen. Grundsätzlich sollen Gesundheitsdaten nur dann im HealthKit für Dritte abrufbar sein, wenn der Nutzer seine Einwilligung erteilt hat. Zudem sollen jegliche Informationen, die von Gesundheits-Apps erhoben werden, verschlüsselt auf dem iPhone abgespeichert werden. Sollte eine Übermittlung der Daten auf einen Server von Apple erforderlich sein, man denke etwa an ein Backup, das der Nutzer durchführen möchte, so soll auch diese Übertragung verschlüsselt erfolgen.

Zudem hat Apple App-Entwickler bereits darauf hingewiesen, dass eine Speicherung von Gesundheitsdaten nicht in der iCloud erfolgen solle. Möchten Entwickler auf die Daten in dem HealthKit zugreifen, so geben die Richtlinien für Entwickler vor, dass die jeweilige App eine Datenschutzerklärung besitzen muss. Eine Nutzung der Gesundheitsdaten für Zwecke der Werbung soll ebenfalls ausgeschlossen sein.

Nach dem deutschen Datenschutzrecht handelt es sich bei den hier in Rede stehenden Gesundheitsdaten um „besondere Arten personenbezogener Daten“ nach § 3 Abs. 9 BDSG. Diese Arten von Daten werden unter dem geltenden Datenschutzrecht als besonders schutzwürdig angesehen. Eine Einwilligung in die Verwendung solcher Daten (als ein möglicher Erlaubnistatbestand) muss sich nach § 4a Abs. 3 BDSG etwa ausdrücklich auf diese Daten beziehen. Der besondere Schutz dieser Datenkategorien rührt aus der europäischen Richtlinie 95/46/EG, nach deren Art. 8 Abs. 1 die Verarbeitung solch sensibler Daten grundsätzlich untersagt ist. Ausnahmen von diesem Verbot bestehen nach Art. 8 Abs. 2 der Richtlinie etwa für den Fall der ausdrücklichen Einwilligung oder wenn die betroffene Person die Daten offenkundig öffentlich zugänglich gemacht hat.

Weitere Informationen zur App „Helath“: https://www.apple.com/de/ios/whats-new/health/ und zum HealthKit: https://developer.apple.com/healthkit/

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Posted on by

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik „Einwilligung und Cookies“.

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Posted on by

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik „Einwilligung und Cookies“.

IT-Sicherheitsgesetz: Telemedienanbieter dürfen anlasslos speichern

Posted on by

Heute wurde der Referentenentwurf des Bundesinnenministeriums für ein IT-Sicherheitsgesetz (IT-SG) veröffentlicht (PDF). Viele der dort beschriebenen Änderungen beziehen sich auf das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Jedoch sollen auch Änderungen am Telemediengesetz (TMG) vorgenommen werden. Eine dieser Änderungen betrifft die anlasslose Erhebung und Speicherung von Nutzungsdaten. Hierzu soll ein neuer § 15 Abs. 9 TMG-E (S. 18) eingefügt werden.

Hier der Wortlaut:

(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 gilt entsprechend.

Dieser Vorschlag ist nicht neu. Bereits im Jahre 2009 sah der Gesetzentwurf für ein Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BT Drs. 16/11967, PDF) die Ergänzung des TMG um eine identische Regelung vor. Damals wurde die Gesetzesänderung jedoch am Ende nicht vorgenommen. Der Grund: die Eilbedürftigkeit der übrigen Regelungen des Gesetzesentwurfs (so die Beschlussempfehlung und der Bericht des Innenausschusses, BT Drs. 16/13259, PDF).

Nun soll die bereits 2009 anvisierte Änderung doch kommen. Und das ist grundsätzlich auch zu begrüßen. Sinn und Zweck der neuen Vorschrift ist es laut der Begründung zum IT-SG, dass Diensteanbieter die Möglichkeit haben müssen, eine Infektion der von ihnen angebotenen Telemedien mit Schadprogrammen zu erkennen, um entsprechende Schutzmaßnahmen ergreifen zu können (S. 51). Telemediendiensteanbieter sollen in die Lage versetzt werden, rechtmäßig für den Zweck Daten erheben und verwenden zu können, um Angriffe (Denial of Service, Schadprogramme, Veränderung ihrer Werbeangebote von außerhalb) abwehren zu können.

Inhaltlich bezieht sich die geplante Regelung auf Nutzungsdaten (definiert in § 15 Abs. 1 TMG). Hierzu gehören insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Umfasst hiervon ist z. B. auch die IP-Adresse (sei es nun eine solche, die dynamisch oder statisch vergeben wird).

Erlaubt soll die Erhebung und Verwendung der Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen der genutzten technischen Einrichtungen sein. Die Begründung des Referentenentwurfs gibt auch vor, was aus gesetzgeberischer Sicht auf jeden Fall erforderlich ist: die Erhebung und kurzfristige Speicherung und Auswertung der Nutzungsdaten.

Die Erlaubnis des neuen § 15 Abs. 9 TMG-E bezieht sich unter anderem auf das „Erkennen“ von Störungen. Die Erhebung und Verwendung der Daten ist daher nicht erst erlaubt, wenn ein Angriff stattgefunden hat und seine Auswirkungen eintreten. Bereits zum Erkennen von Störungen, also proaktiv, soll die Speicherung der Nutzungsdaten erlaubt sein. Die Gesetzesbegründung des IT-SG trennt ausdrücklich zwischen dem „Erkennen“ und einer nachfolgenden „Abwehr“ von Angriffen. Für die Erlaubnis, bereits proaktiv Nutzungsdaten speichern zu können, spricht auch der Verweis in der Gesetzesbegründung auf § 100 Abs. 1 TKG. Zu dieser Vorschrift hat der BGH erst kürzlich entschieden, dass gegen eine proaktive Speicherung von (dort: dynamischen) IP-Adressen durch Telekommunikationsanbieter für eine Woche keine Bedenken bestehen (vgl. die Meldung bei Heise). Auch im TKG spricht das Gesetz, wie nun in der vorgeschlagenen Anpassung des TMG, vom „Erkennen“ von Störungen oder Fehlern.

Die Frage, welche sich freilich zwangsläufig stellen wird, ist diejenige nach der erlaubten Dauer der Speicherung. Die Gesetzesbegründung spricht von „kurzfristig“, ohne konkretere Vorgaben zu machen. Durch den vorgenommenen Verweis auf § 100 Abs. 1 TKG wird eine einwöchige Speicherung vor dem Hintergrund der aktuellen Rechtsprechung sicherlich erlaubt sein. Der Begriff „kurzfristig“ ist aber meines Erachtens nicht auf diese eine Woche beschränkt. Auch eine längere Speicherung erscheint durchaus möglich. Gerade wenn man sich vor Augen führt, dass die Speicherung grundsätzlich unter der Bedingung der Erforderlichkeit steht. Was jedoch erforderlich ist, um einen Angriff zu erkennen oder abzuwehren, wird sich kaum pauschal für alle Situationen festlegen lassen. Es erscheint daher durchaus möglich, dass die „kurzfristige“ Speicherung auch mehr als eine Woche umfasst.

Die vorgeschlagene Regelung ist nach meinem Dafürhalten richtig und wichtig. Kritiker werden sicher bemängeln, dass auf diesem Wege zumindest eine kleine Vorratsdatenspeicherung im TMG Einzug erhält. Auch hier lässt sich jedoch auf die Argumentation des Bundesgerichtshofs im oben benannten Urteil verweisen. Die Zwecke, warum Daten gespeichert und für welche Zwecke sie genutzt werden dürfen, sind in dem Gesetz aber klar umrissen. Es geht nicht um eine Speicherung für eine spätere Verwendung durch Sicherheitsbehörden. Natürlich lässt sich nicht ausschließen, dass dennoch ein Zugriff in Einzelfällen stattfinden könnte. Die Möglichkeit des Zugriffs wird aber nicht durch das IT-SG geschaffen, sondern durch die gesetzlichen Grundlagen für die Arbeit der Sicherheitsbehörden. Wenn man diese Befugnisse ablehnt, muss man dort ansetzen. Die im IT-SG vorgeschlagene Regelung hat den berechtigten Schutz der Telemediendienste (bzw. den von ihnen genutzten technischen Einrichtungen) und damit auch den Schutz der Nutzer und ihrer Daten im Sinn.

Digitale Agenda: IT-Sicherheit und das liebevoll gestrickte Datenschutzrecht

Posted on by

In der gestrigen Ausgabe der FAZ hat der deutsche Bundesinnenminister, Dr. de Maizière, in einem umfangreichen Beitrag (hier eine kurze Zusammenfassung) zu seiner persönlichen Vorstellung und auch der Aufgabe seines Ministeriums im Politikfeld „Digitale Agenda“ Stellung genommen. Egal wie man zu dem Beitrag und seinen Aussagen inhaltlich steht, lesen sollten ihn jeder, der sich privat oder beruflich mit der Digitalisierung auseinandersetzt.
Der Innenminister erkennt mit Blick auf das Internet und die Digitalisierung derzeit drei wichtige ordnungspolitische Vorhaben für sein Ministerium: Die Verabschiedung eines IT-Sicherheitsgesetzes, die Verabschiedung der Datenschutz-Grundverordnung und intensive Verhandlungen auf internationaler Ebene zur globalen Dimension der Digitalisierung. Die beiden ersten möchte hier etwas näher beleuchten.

Verabschiedung des ersten IT-Sicherheitsgesetzes
Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen, so der Minister, zu den sichersten der Welt werden. Das geplante IT-Sicherheitsgesetz geht diese Woche in die Ressortabstimmung. Inhaltlich sei das Gesetz von folgendem Grundprinzip beseelt: wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken. Diese Idee ist dem Recht nicht fremd. Sie liegt etwa den Verkehrssicherungspflichten zugrunde (wer auf öffentlicher Straße eine Grube gräbt, muss für effiziente Absperrung sorgen). Die Fragen, die sich im Zuge der Diskussionen um das Gesetz stellen könnten, sind diejenigen nach dem erforderlichen Grad des Risikos und wann man ein solches „schafft“? Ist es etwa ausreichend, dass ein Unternehmen einen unverschlüsselten E-Mail Dienst anbietet? Oder einen Internetdienst für hunderttausende Kunden unverschlüsselt betreibt? Reicht dies, um ein Risiko zu schaffen? Muss es sich bei dem Risiko bereits um eine konkrete Gefahr handeln oder ist doch die abstrakte Wahrscheinlichkeit ausreichend? Bestehen also quasi anlasslose Pflichten für Schutzvorkehrungen, weil ein gewisses Grundrisiko nie ganz auszuschließen ist? Zudem wird es wichtig sein zu klären, worauf sich die Risiken beziehen müssen. Allgemein auf die Interessen von Betroffenen oder zumindest doch auf (konkret festgelegte) geschützte Rechtspositionen? Der Innenminister nennt zudem eine Form der Eskalation der Schutzvorkehrungen: je höher das Risiko für die Gesellschaft, desto höhere Anforderungen an die Schutzmaßnahmen.

Gegliedert sind die Pflichten dem Beitrag zufolge nach verschiedenen Branchen der Wirtschaft. Adressaten der Pflichten sind die in diesen Branchen tätigen Unternehmen. Dazu gehören etwa der Bereich Energie, Informationstechnik, Verkehr, Gesundheit und auch das Finanzwesen. Es geht darum, einheitlich Standards innerhalb der Branchen entstehen zu lassen. Der Inhalt der jeweiligen Branchenstandards soll durch die Unternehmen zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet und branchenspezifisch angepasst werden.

Zwar soll für Unternehmen auch grundsätzlich eine Meldepflicht bei Cyber-Angriffen eingeführt werden. Diese kann jedoch, solange es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist, auch anonym an das BSI erfolgen. Diese Initiative scheint aus meiner Sicht durchaus einen positiven Anreiz bereit zu halten. Unternehmen könnten so dazu animiert werden, frühzeitig zu melden und das BSI mit Informationen zu versorgen. Die Frage wird freilich sein, welche Kriterien für die Bestimmung eines „gefährlichen Ausfalls“ oder „einer Beeinträchtigung der kritischen Infrastruktur“ aufgestellt werden und wie einfach diese praxisgerecht von Unternehmen im konkreten Fall als Maßstab anzuwenden sind. Der Anreiz würde wohl verpuffen, wenn es heißt: im Zweifel identifizierende Meldung.

Verabschiedung der Datenschutz-Grundverordnung
Auch befasst sich der Beitrag mit der geplanten Datenschutz-Grundverordnung. Diese besitze „überragende Bedeutung“. Und Herr de Maizière stellt zutreffend fest: „Sie wird unser liebevoll gestricktes deutsches Datenschutzrecht komplett“ ersetzen. Die Verhandlungen hierzu sollten nach dem Innenminister als Chance genutzt werden, um in dem geplanten Gesetz auch Antworten auf Fragen zu geben, die sich mit Blick auf neue Technologien und Phänomene wie Big Data, Cloud-Computing und das Internet der Dinge stellen. Dieser Ansatz ist meines Erachtens zu begrüßen, denn wie der Minister richtig erkennt, sind die derzeit geltenden Regelungen natürlich nicht mehr zeitgemäß. Sie müssen angepasst werden. Dies sollte daher im Rahmen der derzeitigen Verhandlungen erfolgen. Wenn sich die Beratungen aufgrund der Berücksichtigung des technologischen Fortschritts und dem Umgang hiermit im Datenschutzrecht dann „verzögern“ (dieser Vorwurf wird sicherlich erhoben werden), so ist dies nicht negativ zu bewerten und sollte nicht zu gesetzgeberischen Kurzschlussreaktionen führen.

Inhaltlich möchte der Minister neben den bekannten Schutzmechanismen für die Betroffenen (wie Einwilligung und Informationspflichten) weitere Maßnahmen vorsehen, die dann greifen sollen, wenn die bisherigen Konzepte an ihre Grenze stoßen. Er nennt etwa das Beispiel, dass eine Information des Betroffenen verlangt wird, diese jedoch erst erfolgen kann, wenn der Betroffene vorher identifiziert wird. Also eine Datenerhebung um Daten zu schützen. Man wird abwarten müssen, wie die Vorschläge zur Ausgestaltung der Datenschutz-Grundverordnung hier konkret aussehen werden. Der Minister spricht von zusätzlichen Schutzmechanismen, die dann greifen sollen, wenn etwa das Instrument der Einwilligung praktisch nicht mehr umsetzbar ist.

Vorlagefragen an den EuGH: Wie weit reicht der Arm nationaler Datenschutzbehörden?

Posted on by

Der Europäische Gerichtshof (EuGH) ist im Rahmen eines Vorabentscheidungsersuchens (C-230/14) aus Ungarn mit mehreren Fragen befasst, inwieweit die Datenschutzbehörde eines EU-Mitgliedstaates ihre Kontrollbefugnisse auch gegen Webseitenanbieter, die in einem anderen Mitgliedstaat niedergelassen sind, ausüben und durchsetzen kann.

Sachverhalt
Das Unternehmen Weltimmo, mit Sitz in der Slowakei, bietet auf seiner Webseite die Möglichkeit zur Vermittlung von Immobilien an. Auf der Webseite konnten auch ungarische Staatsbürger Anzeigen für Immobilien schalten, die sich in Ungarn befinden. Die für den Dienst verwendeten Server befinden sich wiederum in einem dritten EU-Mitgliedstaat. Dieser Service wurde zunächst kostenlos angeboten, nach einer gewissen Zeit jedoch automatisch in ein kostenpflichtiges Angebot umgewandelt und die Betroffenen wurden zur Kasse gebeten. Zudem konnten Anzeigen mit personenbezogenen Daten nicht gelöscht werden (hier mehr zu dem ursprünglichen Verfahren, Englisch). Gegen diese Praxis wandten sich einige ungarische Staatsbürger und beschwerten sich bei ihrer nationalen Datenschutzbehörde. Diese untersuchte den Vorfall. Sie hielt sich für zuständig und erließ gegen das slowakische Unternehmen einen Bußgeldbescheid wegen der Verletzung ungarischen Datenschutzrechts. Hiergegen wandte sich Weltimmo, in erster Instanz erfolgreich. In der zweiten Instanz wandte sich das ungarische Gericht nun an den EuGH, da einige Fragen zum anwendbaren Recht als auch der aufsichtsbehördlichen Kompetenz bestanden.

Vorlagefragen
Zunächst möchte das Gericht wissen, ob Art. 28 Abs. 1 der Datenschutz-Richtlinie (DS-RL) in dem Sinn auszulegen, dass die nationale Regelung eines Mitgliedstaats (in diesem Fall Ungarn) in dessen Staatsgebiet auf einen für die Datenverarbeitung Verantwortlichen (Weltimmo) anwendbar ist, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist und der eine Webseite zur Vermittlung von Immobilien betreibt und dort unter anderem Immobilien inseriert, die sich im Staatsgebiet des ersten Mitgliedstaats befinden, nachdem deren Eigentümer ihre personenbezogenen Daten an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Art. 28 Abs. 1 DS-RL lautet: „Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Es geht also darum, ob die ungarische Datenschutzbehörde grundsätzlich die Befugnis besitzt, Verstöße gegen ungarisches Datenschutzrecht gegen einen in einem anderen Mitgliedstaat ansässigen für die Verarbeitung Verantwortlichen durchzusetzen. Hintergrund dieser Frage dürfte auch die Regelung des Art. 4 Abs. 1 Buchst. a DS-RL sein, wonach jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der DS-RL erlässt, auf alle Verarbeitungen personenbezogener Daten anwendet, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Hierauf bezieht sich dann auch die zweite Frage des vorlegenden Gerichts. Ist Art. 4 Abs. 1 Buchst. a DS-RL im Lichte ihrer Erwägungsgründe 18 bis 20 und ihres Art. 1 Abs. 2 sowie Art. 28 Abs. 1 dahingehend auszulegen, dass die ungarische Datenschutzbehörde das ungarische Datenschutzgesetz als nationales Recht nicht auf den Betreiber einer Webseite zur Vermittlung von Immobilien (Weltimmo) anwenden darf, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist, selbst dann nicht, wenn dieser unter anderem ungarische Immobilien inseriert, deren Eigentümer die Daten ihrer Immobilien wahrscheinlich vom ungarischen Staatsgebiet aus an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Beide Fragen beziehen sich also vornehmlich auf das anwendbare Datenschutzrecht und wie dieses unter der DS-RL zu bestimmen ist, wenn es um die Beurteilung eines grenzüberschreitenden Sachverhalts (innerhalb der EU) geht. Grundsätzlich bestimmt sich das anwendbare Datenschutzrecht nach den Vorgaben des Art. 4 DS-RL. Art 28 Abs. 1 DS-RL stellt meines Erachtens keine hiervon abweichende Regelungen auf. Diese Vorschrift regelt vielmehr die Kompetenzen der Datenschutzbehörden, nämlich dass sie dazu berufen sind, die Einhaltung der Datenschutzgesetze in ihrem Mitgliedstaat zu überwachen. Welche nationalen Regelungen Anwendung finden, richtet sich jedoch nach Art. 4 DS-RL.

Des Weiteren fragt das vorlegende Gericht danach, ob es für die Auslegung von Bedeutung ist, ob die von dem für die Datenverarbeitung Verantwortlichen und Betreiber der Webseite erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist? Diese Bezugnahme auf das Merkmal des „Ausrichtens“ mag einige Leser an das Google-Urteil des EuGH (C-131/12) vom 13. Mai 2014 erinnern. Der Unterschied dazu ist hier jedoch, dass der für die Verarbeitung Verantwortliche sich innerhalb der EU befindet. Zudem möchte das vorlegende Gericht hier wissen, ob bereits das Ausrichten der Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats von Bedeutung ist. Im Google-Urteil hat der EuGH (anders als dies häufig berichtet wurde) zudem nicht festgestellt, dass allein das Ausrichten einer Webseite oder eines Dienstes entscheidend ist, für die Antwort auf die Frage nach dem anwendbaren Datenschutzrecht. Dort ging es um die Ausrichtung der Tätigkeit der Niederlassung (!) des verantwortlichen.

Meines Erachtens findet sich für das Abstellen allein auf das Ausrichten der angebotenen Dienstleitung in der DS-RL keine Grundlage. Art. 4 Abs. 1 DS-RL bezieht sich entweder auf die Niederlassung des Verantwortlichen (Buchst. a) oder darauf, ob auf in einem Mitgliedstaat belegene Mittel zurückgegriffen wird (Buchst. c).

Das vorlegende Gericht differenziert dann och weiter und möchte wissen, ob es von Bedeutung ist, ob die Daten der in diesem anderen Mitgliedstaat belegenen Immobilien und die personenbezogenen Daten der Eigentümer tatsächlich vom Staatsgebiet dieses anderen Mitgliedstaats (hier Ungarn) aus eingegeben wurden? Auch fragt das Gericht danach, ob es von Bedeutung ist, ob die Eigentümer der in der Slowakei niedergelassenen Gesellschaft einen Wohnsitz in Ungarn haben?

Zuletzt kommt das vorlegende Gericht auf den Aspekt der aufsichtsbehördlichen Kompetenzen zu sprechen. Für den Fall, dass die ungarische Datenschutzbehörde handeln darf, jedoch nur auf der Grundlage des slowakischen Datenschutzrechts (weil nur dieses für den Verantwortlichen gilt), möchte das ungarische Gericht wissen, ob Art. 28 Abs. 6 DS-RL in dem Sinne auszulegen ist, dass die ungarische Datenschutzbehörde ausschließlich – und zwar nach der Regelung des Mitgliedstaats der Niederlassung – diejenigen Befugnisse ausüben kann, die in Art. 28 Abs. 3 DS-RL genannt sind, und dass sie folglich keine Befugnis besitzt, ein Bußgeld zu verhängen?

Art. 28 Abs. 6 DS-RL bestimmt: „Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.“ (Hervorhebung durch mich)

In Art. 28 Abs. 3 DS-RL sind Maßnahmen aufgezählt, die den Datenschutzbehörden zustehen (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagerecht). Nicht ausdrücklich erwähnt ist dort jedoch die Möglichkeit, Bußgelder zu verhängen. Bedeutet der Verweis in Art. 28 Abs. 6 DS-RL auf Abs. 3 nun, dass die ungarische Datenschutzbehörde in diesem Fall allein auf die dort benannten Maßnahmen beschränkt ist, obwohl nach nationalen Recht (sei es dem ungarischen oder dem slowakischen) ein Bußgeld verhängt werden könnte? Dies würde im Endeffekt bedeuten, dass der ungarischen Behörde nur ein Grundgerüst an, aus der DS-RL abgeleiteten und durch sie beschränkte, aufsichtsbehördlichen Maßnahmen zusteht. Nämlich allein diejenigen, die in Art. 28 Abs. 3 DS-RL benannt sind. Soll ein Bußgeld verhängt werden, so dürfte dies allein durch die slowakische Datenschutzbehörde nach slowakischem Recht erfolgen.

Recht auf Vergessen – wie geht es weiter?

Posted on by

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

EuGH-Generalanwalt zur Rechtmäßigkeit öffentlicher Videoüberwachung durch Private

Posted on by

In einem Vorabentscheidungsersuchen (Rs. C-212/13) des obersten tschechischen Verwaltungsgerichtshofs an den Europäischen Gerichtshof (EuGH) hat am 10. Juli 2014 Generalanwalt (GA) Jääskinen seine Schlussanträge vorgestellt.

In dem Verfahren geht es im Wesentlichen um zwei Fragen zur Auslegung der geltenden Datenschutz-Richtlinie (DS-RL). Zum wann i. S. d. Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL eine Verarbeitung personenbezogener Daten vorliegt, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“ und damit nicht in den Anwendungsbereich der DS-RL fällt (sog. household exemption). Zum anderen wie die Überwachung von öffentlichem Raum durch ein Kamerasystem möglicherweise datenschutzrechtlich rechtmäßig durchgeführt werden kann.

Sachverhalt
Herr Ryneš, der im Verfahren vor dem nationalen Gericht gegen eine Entscheidung der tschechischen Datenschutzbehörde vorgeht, setzte eine fest installierte Kamera an der Außenwand seines Hauses ein, die nicht schwenkbar war. Mit dieser zeichnete er den Eingang seines Hauses, den öffentlichen Straßenraum sowie den Eingang des gegenüberliegenden Hauses auf. Videoaufnahmen wurden auf einer Festplatte gespeichert. Sobald deren maximale Kapazität erreicht war, wurde die vorhandene Aufzeichnung mit einer neuen überschrieben. Die Aufzeichnungsvorrichtung hatte keinen Bildschirm, so dass das Bild nicht in Echtzeit betrachtet werden konnte. Allein Herr Ryneš hatte unmittelbaren Zugang zu der Anlage und den aufgezeichneten Daten. Grund für die Überwachung war der Schutz seines Eigentums, seiner Gesundheit und seines Lebens und seiner Familie. Sowohl er selbst als auch seine Familie waren nämlich während mehrerer Jahre Ziel von Angriffen eines Unbekannten gewesen, der nicht hatte entlarvt werden können. Zudem waren bereits in der Vergangenheit Fenster des Hauses mehrfach eingeschlagen worden. Nach Installation der Kamera wurde erneut eine Fensterscheibe seines des Hauses zerstört. Dank der Videoüberwachungsanlage konnten zwei Verdächtige identifiziert werden. Die Aufzeichnungen wurden der Polizei übergeben und anschließend im Rahmen des Strafverfahrens als Beweismittel vorgelegt. Einer der Verdächtigen beantragte die Überprüfung des Kamerasystems und die Datenschutzbehörde stellte Verstöße gegen das Datenschutzrechts fest.

Videoüberwachung als Vorratsdatenspeicherung?
Der GA betont einleitend zunächst, dass es sich vorliegend um einen speziell zu betrachtenden Einzelfall der Videoüberwachung handelt. Die Merkmale sind die folgenden: fest installiertes Überwachungssystem; auf den öffentlichen Raum sowie die Tür des gegenüberliegenden Hauses gerichtet; es wird ermöglicht, eine unbestimmte Zahl von Personen zu identifizieren; keine vorherige Unterrichtung hinsichtlich der Überwachung. Der GA stellt klar, dass die im Zusammenhang mit Aufzeichnungen durch Mobiltelefone, Camcorder oder Digitalkameras stehenden Rechtsfragen hingegen anderer Art sind und vorliegend nicht behandelt werden.

Sodann zieht der GA zwei interessante Parallelen zum Urteil des EuGH in Sachen Vorratsdatenspeicherung (C-293/12). Zum einen geht der GA davon aus, dass bei Aufzeichnungen dieser Art

[a]us der Gesamtheit dieser Daten … sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden [können]

Hier zitiert er also wörtlich den EuGH in seinem Vorratsdaten-Urteil und vergleicht die potentielle Gefahrenlase der vorliegenden Videoüberwachung mit derjenigen bei der Vorratsdatenspeicherung. Zum anderen zitiert er den EuGH in seinem Urteil zur Vorratsdatenspeicherung vor dem Hintergrund, dass die

Vorratsspeicherung der Daten zu dem Zweck, sie gegebenenfalls den zuständigen nationalen Behörden zugänglich zu machen, unmittelbar und speziell das Privatleben und damit die durch Art. 7 der Charta garantierten Rechte

betrifft, was auch vorliegend der Fall war.

ausschließlich persönlicher oder familiärer Tätigkeiten
Sodann gelangt der GA zur Hauptfrage des Verfahrens, nämlich der Auslegung des Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL. Der GA weist darauf hin, dass diese Bestimmung grundsätzlich nicht auf den Zweck der Verarbeitung personenbezogener Daten abstellt. In der mündlichen Verhandlung war offensichtlich zwischen den verschiedenen Beteiligten strittig, inwieweit die household exemption von der subjektiven Zielrichtung, die einer Datenverarbeitung zugrunde liegt (also die verfolgte Absicht), abhängt. Diese Ansicht lehnt der GA ab, verweist jedoch darauf, dass die subjektive Zielrichtung im Rahmen der Prüfung der Rechtmäßigkeit der Datenverarbeitung (genauer bei der Abwägung i. R. d. Art. 7 lit. f DS-RL eine Rolle spielen kann). Einzig möglich wäre nach dem GA noch, diese Zielrichtung der Tätigkeit als für den ausschließlich persönlichen oder familiären Charakter der betreffenden Datenverarbeitung maßgeblich anzusehen, um die household exemption eingreifen zu lassen. Auch dies lehnt der GA jedoch ab. Der Anwendungsbereich der DS-RL könne nicht von der subjektiven Zweckbestimmung des für die Verarbeitung Verantwortlichen abhängig sein,

weil eine solche Zweckbestimmung weder anhand äußerer Umstände objektiv nachprüfbar noch den Personen gegenüber relevant ist, deren Rechte und Interessen durch die betreffende Tätigkeit berührt werden.

Der Anwendungsbereich der DS-RL müsse daher allein anhand objektiver Kriterien bestimmt werden.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL ist als Ausnahmebestimmung eng auszulegen. Nach Ansicht des GA handelt es sich bei den „persönlichen Tätigkeiten“ i. S. d. Vorschrift um Tätigkeiten, die in enger und objektiver Verbindung mit dem Privatleben einer Person stehen und die Privatsphäre anderer nicht spürbar berühren. Der GA weist jedoch darauf hin, dass diese Tätigkeiten auch außerhalb der eigenen Wohnung stattfinden können.

Der zweite Begriff, die „familiären Tätigkeiten“, steht nach dem GA mit dem Familienleben in Verbindung und findet normalerweise innerhalb der Wohnung oder anderer von den Mitgliedern der Familie gemeinsam genutzter Orte statt.

Wichtig hierbei ist jedoch, dass es für die Anwendung dieser Ausnahme nicht ausreicht, dass die Tätigkeiten mit persönlichen oder familiären Tätigkeiten nur verbunden sind. Der Wortlaut ist eindeutig. Die Verbindung muss ausschließlich sein. Hier zieht der GA nun sein erstes Fazit:

Ich stelle daher fest, dass die Videoüberwachung anderer, d. h. die systematische Überwachung von Orten mittels einer Vorrichtung, die ein Videosignal zwecks Identifizierung von Personen aufzeichnet, selbst innerhalb eines Hauses nicht als ausschließlich persönlich angesehen werden kann, was aber nicht ausschließt, dass sie unter den Begriff der familiären Tätigkeit fallen kann.

Gerade Maßnahmen zum Schutz der Unverletzlichkeit eines Privathauses und zu dessen Schutz vor Diebstahl und jedem widerrechtlichem Zugang können nach dem GA aber Tätigkeiten darstellen, die für jeden Haushalt wesentlich sind und daher zu den familiären Tätigkeiten gerechnet werden können. Im vorliegenden Fall war diese Voraussetzung jedoch nicht erfüllt. Denn eine Videoüberwachung, die sich wie hier auf den öffentlichen Raum erstreckt, könne nicht als eine ausschließlich familiäre Tätigkeit angesehen werden, weil sie auch Personen erfasst, die eben keine Verbindung zu der betreffenden Familie.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL sei daher vorliegend nicht einschlägig. Die Videoüberwachung falle damit in den Anwendungsbereich der DS-RL

Rechtmäßigkeit der Videoüberwachung
In einer ergänzenden Bemerkung führt der GA jedoch aus, dass sich die Rechtmäßigkeit der Datenverarbeitung vorliegend aus Art. 7 lit. f DS-RL ergeben kann. In dessen Rahmen ist eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen erforderlich, die grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Und hier stellt der GA fest, dass die Tätigkeit von Herrn Ryneš dem Schutz seiner Wahrnehmung anderer Grundrechte wie des Eigentumsrechts und des Rechts auf Familienleben diente. Diese berechtigten Interessen müssen daher bei der Abwägung berücksichtigt werden.

Interessanterweise verwendet der GA im Rahmen des Art. 7 lit. f DS-RL und der dort vorgesehenen Abwägung der Rechte und Interessen nicht die Formulierung des EuGH im Google-Urteil (C-131/12), dass „im Allgemeinen” die durch Art. 7 und 8 der Grundrechtecharta der EU geschützten Rechte der betroffenen Person gegenüber dem Interesse der Internetnutzer überwiegen. Im vorliegenden Fall also, dass etwa im Allgemeinen die Rechte der mit der Kamera aufgezeichneten Personen gegenüber dem Betreiber der Kamera überwiegen.

Fazit
Die Schlussanträge des GA überzeugen. Es war abzusehen, dass die household exemption als Ausnahmeregelung eng auszulegen ist. Zudem ist der geltende Wortlaut („ausschließlich“) ziemlich eindeutig. Begrüßenswert ist die Auffassung des GA, dass die Videoüberwachung nicht per se rechtswidrig sein muss, selbst wenn der öffentliche Raum überwacht wird und eine unbestimmte Anzahl von Personen von den Aufnahmen betroffen ist. Die Interessenabwägung ist vielmehr in jedem Einzelfall durchzuführen und bietet durchaus die Möglichkeit, auch solche Datenverarbeitungen zu rechtfertigen, die einen unbestimmten Personenkreis betreffen, ohne dass die Betroffenen hiervon Kenntnis haben.