Category Archives: Einwilligung

Einheitlicher Datenschutz durch #EUDataP? Denkste. Nicht bei Nutzerprofilen für Werbezwecke.

Posted on by

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO) schreiten voran. Der Rat der Europäischen Union möchte noch im Juni eine gemeinsame Position erzielen, mit der dann in die Trilog-Verhandlungen mit dem Parlament und der Kommission eingestiegen werden kann.

Ein in letzter Zeit gerade von deutschen Politikern immer wieder ins Feld geführter Vorteil der DS-GVO wird es sein, dass grundsätzlich ein einheitliches Datenschutzrecht für Europa geschaffen wird. Ein „level playing field“. Doch wenn der Jurist „grundsätzlich“ sagt, dann gibt es immer mindestens eine Ausnahme. Und diese Ausnahme wird, nach derzeitigem Stand, die Erstellung von Profilen unter Pseudonym (etwa durch Cookies) im Internet sein. In Deutschland gilt in diesen Fällen nach § 15 Abs. 3 TMG ein Opt-out-Prinzip. Der Nutzer muss auf sein Widerspruchsrecht hingewiesen werden. In anderen europäischen Ländern gilt ein Opt-in, also die vorherige Einwilligung.

Diese Unterschiede ergeben sich aus einer uneinheitlichen Umsetzung der europäischen Richtlinie 2002/58/EG (geändert durch RL 2009/136/EG; sog. ePrivacy-RL). Als eine Richtlinie macht dieses Instrument den Mitgliedstaaten nur generelle Vorgaben, welchen Inhalt nationale Gesetze haben müssen. Daher exisitiert auch eine in den Mitgliedstaaten uneinheitliche Umsetzung im jeweiligen Recht.

Art. 5 Abs. 3 der RL 2002/58/EG besagt, dass die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Eigentlich, so denkt man, wird hier klar eine Einwilligungspflicht vorgeschrieben. Und dies vor allem nicht nur für „personenbezogene Daten“, sondern für die Speicherung von Informationen (!) oder den Zugriff auf solche. In Deutschland war lange unklar, ob das geltende Telemediengesetz diese Vorgaben wirklich umsetzt.

Seit Februar 2014 und einem Artikel von Adrian Schneider auf Telemedicus wissen wir jedoch: sowohl die EU-Kommission als auch das Bundeswirtschaftsministerium gehen davon aus, dass die ePrivacy-RL in Deutschland umgesetzt wurde. Interessanterweise sehen das übrigens auch die europäischen Datenschützer (versammelt in der Art. 29 Gruppe) so. Dies ergibt sich aus einer Stellungnahme aus dem Jahr 2013 (WP 208, dort S. 2). Dort geht die Art. 29 Gruppe davon aus, dass die ePrivacy-RL seit Januar 2013 in allen EU-Staaten umgesetzt wurde.

Schön. Nun wissen wir also, dass unser geltendes TMG die europäischen Vorgaben nach Ansicht der zuständigen Stellen umsetzt.

Und wie komme ich nun zu der Annahme, dass es nach Inkrafttreten der DS-GVO weiterhin dabei bleibt, dass für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellt werden dürfen, sofern der Nutzer dem nicht widerspricht (=Opt-out)?

Diese Woche hat die Europäische Kommission ihre Initiative für den Digitalen Binnenmarkt vorgestellt. Sie behandelt darin viele wichtige Themen. Fast beiläufig findet sich auf S. 47 des Arbeitspapiers (PDF) die Aussage, dass die ePrivacy-RL eine sog. „lex specialis”, also ein spezielles Gesetz, das dem allgemeinen Gesetz (dann der DS-GVO) in ihrem Anwendungsbereich vorgeht. Damit würde auch die Vorgabe aus Art. 5 Abs. 3 der ePrivacy-RL, die ja nach Angaben der Ministerien und der Kommission in Deutschland umgesetzt ist, ebenfalls den Regeln der DS-GVO, etwa zur Bildung von Profilen unter Pseudonymen, vorgehen.

Man könnte nun noch fragen, ob denn die ePrivacy-RL nicht nur für den Bereich der elektronischen Kommunikation ein Spezialgesetzt ist, also etwa das Angebot der Telekommunikationsunternehmen. Meines Erachtens nicht. Denn das besondere an Art. 5 Abs. 3 der ePrivacy-RL ist gerade, dass diese Vorgabe nicht nur auf Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste und auf Betreiber öffentlicher Kommunikationsnetze in der Gemeinschaft anwendbar ist, sondern für jede Rechtsperson, die Informationen auf intelligente Endgeräte überträgt oder auf diesen Geräten liest, gilt. So im übrigen auch die Art. 29 Gruppe in ihrer Stellungnahme WP 202 (PDF), dort S. 9.

Also, wenn sich nicht innerhalb der Verhandlungen zur DS-GVO etwas am Verhältnis zur ePrivacy-RL ändert oder hierzu eine Klarstellung erfolgt, gilt in Zukunft weiterhin ein uneinheitlicher Datenschutz in Europa, zumindest in Bezug auf die Erstellung von Nutzerprofilen über Cookies zu Werbezwecken unter Pseudonym. Happy level playing field!

Verbandsklagebefugnis im Datenschutzrecht: Bundesregierung lehnt Vorschläge des Bundesrates ab

Posted on by

Bekanntlich wird derzeit ein Gesetzesentwurf der Bundesregierung zur Änderung des Unterlassungsklagengesetzes (UKlaG) im ordentlichen Gesetzgebungsverfahren diskutiert. Vor allem Verbraucherschutzverbände sollen in Zukunft die Möglichkeit erhalten, bestimmte datenschutzrechtswidrige Verarbeitungsvorgänge durch Unternehmen gerichtlich untersagen lassen zu können (hierzu soll ein neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG eingefügt werden).

Zu dem Regierungsentwurf (mein Beitrag dazu hier), als auch zu der Stellungnahme des Bundesrates hatte ich bereits ausführlich hier geschrieben. Der Gesetzesentwurf liegt nun im Bundestag und muss dort unter anderem im federführenden Ausschuss für Recht und Verbraucherschutz beraten werden.

Veröffentlicht wurde nun auch die Antwort der Bundesregierung auf die Stellungnahme des Bundesrates (in diesem PDF ab S. 42), in der der Bundesrat unter anderem eine Erweiterung des Tatbestandes des § 2 Abs. 2 S. 1 Nr. 11 UKlaG (angreifbar wären demnach nicht nur, wie von der Bundesregierung vorgeschlagen, bestimmte Datenverarbeitungen zu „kommerziellen“ Zwecken, sondern jegliche Datenverarbeitungen) sowie die Einführung eines allgemeinen Kopplungsverbotes von Einwilligung und Abschluss eines Vertrages in § 28 Abs. 3b BDSG vorsah.

Um es kurz zu machen: die Bundesregierung lehnt die Vorschläge des Bundesrates ab.

Zu der vorgeschlagenen Erweiterung des § 2 Abs. 2 S. 1 Nr. 11 UKlaG stellt die Bundesregierung fest, dass die Beschränkung auf Vorschriften, die die Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung zu bestimmten kommerziellen Zwecken betreffen,

vor allem auch im Interesse von kleinen und mittleren Unternehmen die Abmahn- und Klagemöglichkeiten soweit wie möglich konkretisieren

soll.

In Bezug auf den Vorschlag der Einführung eines allgemeinen Kopplungsverbotes im BDSG führt die Bundesregierung aus, dass § 28 BDSG voraussichtlich

ohnehin bald durch Regelungen der EU-Datenschutzgrundverordnung abgelöst werden wird

und die Bundesregierung eine Änderung der Vorschrift schon deshalb nicht für zweckmäßig hält. Mit dieser Argumentation könnte man freilich den gesamten eigenen Gesetzesentwurf torpedieren, da die geplante Datenschutzgrundverordnung auch eine Regelung zur Klagebefugnis von Verbraucherschutzverbänden vorsehen soll und als EU-Verordnung nationalen Vorschriften vorgehen wird.

Diesbezüglich ist jedoch noch zwischen Kommission, Parlament und Rat nicht geklärt, wie die konkrete Ausgestaltung erfolgen soll. Gerade im Rat wurde die Befugnis für Verbände, auf eigene Faust datenschutzrechtliche Verarbeitungstätigkeiten vor Gericht zu bringen, teilweise eingeschränkt. Im Endeffekt könnte es sich bei dem vorliegenden deutschen Gesetz also allein um einen Lückenfüller und eine Gesetzesänderung mit auf der Stirn stehendem Ablaufdatum handeln.

Die weiteren Verhandlungen im Bundestag werden vor dem Hintergrund der widerstreitenden Positionen sicherlich interessant werden.

Zuletzt sei noch darauf hingewiesen, dass die Bundesregierung nach eigenen Angaben in ihrer Antwort derzeit den allgemeinen gesetzgeberischen Handlungsbedarf im Telemediendatenschutz prüft und dazu gegebenenfalls noch ein gesondertes Gesetzgebungsverfahren in dieser Legislaturperiode einleiten wird. Auch Änderungen der datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) sind daher möglich, wobei sich auch hier dann die Frage nach einer zukünftigen Kollision mit der Datenschutzgrundverordnung stellen wird.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Posted on by

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld „An…“ versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Datenschutzbehörde: Einsatz von Facebook ‚Custom Audiences‘ ohne Einwilligung ist rechtswidrig

Posted on by

Das bayerische Landesamt für Datenschutzaufsicht (die in Bayern für den privaten Bereich zuständige Aufsichtsbehörde, BayLDA), hat in dieser Woche seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013/2014 vorgestellt. Ich berichtete hierzu bereits im Blog.

In dem Tätigkeitsbericht (auf S. 172) wird unter anderem auch knapp auf die Frage nach dem datenschutzrechtlich konformen Einsatz des Dienstes „Custom Audiences“ von Facebook eingegangen. Die Auffassung der Behörde zu dem Einsatz des Dienstes:

Unternehmen, die das Facebook Produkt „Custom Audiences“ einsetzen, riskieren die Eröffnung eines Bußgeldverfahrens.

Diese Information sollte mindestens für Unternehmen mit Sitz in Bayern, die diese Funktion des sozialen Netzwerkes nutzen, von besonderem Interesse sein. Es ist zudem nicht auszuschließen, dass andere Landesdatenschutzbehörden im Ergebnis zu einer ähnlichen Bewertung des Dienstes kommen.

Um was geht es?

Ganz vereinfacht dargestellt, geht es bei „Custom Audiences“ um eine Funktion, mit der Unternehmen zielgenauere Werbung ausspielen können. Hierzu ist es (in einer Alternative des Dienstes) erforderlich, dass personenbezogene Datensätze, die als Identifikationskennungen eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen gehashed und dann bei Facebook hochgeladen und damit an Facebook weitergegeben werden. Auch Facebook hashed die Mail-Adressen seiner Nutzer und vergleicht die Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Bei einer Übereinstimmung der Werte gehört der jeweils übermittelte Datensatz also einem Facebook-Nutzer.

Ist das Datenschutzrecht anwendbar?

Nun könnte man meinen, aufgrund des Hashens der Daten geht jeglicher Personenbzug verloren. Damit wäre das Datenschutzrecht nicht anwendbar. Dem ist jedoch nicht so. Nach Auffassung des BayLDA könnte Facebook

ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen.

Es liegen also personenbezogene Daten vor, deren Übermittlung an Facebook einer Grundlage (entweder im Gesetz oder eine Einwilligung) bedarf.

Datenschutzkonforme Nutzung?

Der Kollege Thomas Schwenke hat bereits einen ausführlichen Artikel zum Thema „Datenschutz & Facebook Audiences“ verfasst, auf den ich hier hinweisen möchte. Im Endeffekt kommt er zu dem Ergebnis, dass für die Nutzung der E-Mail-Adresse oder Telefonnummer des Nutzers entweder dessen Einwilligung erforderlich ist oder aber ein Unternehmen sich möglicherweise auch auf gesetzliche Erlaubnistatbestände berufen könnte. Dies jedoch sicherlich nicht ohne rechtliches Risiko (Stichwort: ist die Mail-Adresse ein Listendatum im Sinne des § 28 Abs. 3 BDSG?). Eine Datenübermittlung aufgrund einer Interessenabwägung (§ 28 Abs. 1 S. 1 Nr. 3 BDSG) könnte nach Meinung von Thomas und auch wie ich finde eventuell als Erlaubnistatbestand dienen. Jedoch müsste man dazu tatsächlich den Einzelfall begutachten.

Das BayLDA scheint sich diesbezüglich jedoch bereits auf eine einzige Möglichkeit für die wirksame Übermittlung festgelegt zu haben:

Es bedarf somit einer Einwilligung der Personen, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden.

Die Behörde weist zudem abschließend darauf hin, dass der Einsatz des Dienstes ihrer Ansicht nach ohne Einwilligung der Nutzer eine Ordnungswidrigkeit darstellt, die entsprechend mit Bußgeldern sanktioniert werden könne.

Fazit

Unternehmen, die „Facebook Audiences“ nutzen, sollten diese Information daher, zumindest bei Sitz in Bayern, ernst nehmen und eventuell die eigenen Prozesse entsprechend anpassen. In Panik sollte man meines Erachtens nicht ausbrechen, da es zumindest (je nach Einzelfall) auch Argumente für eine datenschutzkonformen Einsatz ohne Einwilligung geben kann.

Datenschutzbehörde kritisiert Big Data-Analysen in der Fußball-Bundesliga

Posted on by

Am vergangenen Freitag hat die Landesdatenschutzbeauftragte in Bremen ihren Jahresbericht für das Jahr 2014 (PDF) vorgestellt. In dem Bericht geht es unter anderem auch um Big Data-Analysen im Zusammenhang mit der Fußball-WM 2014 in Brasilien und den Einsatz modernen Analysetechnologien in der Fußball-Bundesliga.

In Ihrem Jahresbericht verweist die Landesdatenschützerin auf Presseberichte (aus dem Handelsblatt), nach denen in der Bundesliga unter anderem der TSG 1899 Hoffenheim und der FC Bayern München bei der Auswertung von Spielen und der Leistung der eigenen Spieler auf die Technologie der Softwarefirma SAP setzen.

Nach Auffassung der Landesdatenschützerin richtet sich die Rechtmäßigkeit der Verarbeitung personenbezogener Daten der Fußballspieler im Rahmen der Big Data-Analysen allein nach § 32 des Bundesdatenschutzgesetzes (BDSG). Denn die Spieler befinden sich mit dem jeweiligen Verein in einem Beschäftigtenverhältnis. Personenbezogene Daten der Fußballspieler dürfen im Rahmen einer solchen Rechtsbeziehung nach § 32 Abs. 1 S. 1 BDSG

für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Nach Ansicht der Landesdatenschützerin sind jedoch Datenanalysen zum Zwecke der Steigerung der Leistung einzelner Spieler oder auch der Effektivität der Mannschaftsleistung nicht von diesem Erlaubnistatbestand erfasst. In ihrem Jahresbericht führt sie zu der Erlaubnis des § 32 Abs. 1 S. 1 BDSG aus:

Von wirtschaftlichem oder sportlichem Erfolg, der durch Datenverarbeitungen gefördert werden soll, steht da nichts. (Jahresbericht, S. 11)

Bereits diese Auffassung ist meiner Ansicht nach zu eng. Natürlich kann in einem allgemein gültigen Bundesdatenschutzgesetz nichts von „wirtschaftlichem und sportlichen Erfolg“ stehen. Es handelt sich nicht um ein „Fußballdatenschutzgesetz“ oder ähnliches. Die Vorschrift ist absichtlich offen und neutral formuliert, um dem weiten Anwendungsbereich des BDSG zu entsprechen.

Zudem: was, wenn nicht der sportliche und sich damit logischerweise einstellende wirtschaftliche Erfolg ist Gegenstand des Beschäftigungsverhältnisses zwischen einem Fußballverein und seinem angestellten Spieler? Zur Durchführung des Beschäftigungsverhältnisses kann es meiner Ansicht nach daher durchaus erforderlich sein, die während eines Spiels gesammelten Daten auszuwerten.

Man mag meinen, dass als datenschutzrechtlicher „Ausweg“ dann noch die Einwilligung des Fußballspielers in Betracht kommt. Denn wenn doch der Spieler selbst mit der Analyse der Daten einverstanden ist, dann kann doch wohl kein Zweifel an der Rechtmäßigkeit der Datenverarbeitung bestehen. Doch leider sieht die Landesdatenschützerin (und im Übrigen auch viele andere Landesdatenschützer) auch dieses Vorgehen als rechtlich zweifelhaft an. Die einer Einwilligung notwendig innewohnende Freiwilligkeit soll nämlich in einem Beschäftigungsverhältnis nicht gegeben sein. Damit würde eine wichtige Voraussetzung für die Wirksamkeit der Einwilligung fehlen. Die Landesdatenschutzbeauftragte führt aus:

auch im Verhältnis zwischen hoch verdienenden Bundesligaprofis und ihren Vereinen muss an die Freiwilligkeit von Einwilligungen ein Fragezeichen gesetzt werden. (Jahresbericht, S. 11)

Auch diese Auffassung ist meiner Ansicht nach zumindest angreifbar. Denn zu Ende gedacht würde man damit den betroffenen Arbeitnehmer, hier den Fußballprofi, datenschutzrechtlich entmündigen. Man würde ihm die grundrechtlich geschützte Möglichkeit nehmen, sein Recht auf informationelle Selbstbestimmung auszuüben, wenn für die Frage der Zulässigkeit der Einwilligung nur noch objektive Kriterien und Perspektiven Dritter entscheidend wären.

Sind also die derzeit in der Fußball Bundesliga durchgeführten Big Data-Analysen datenschutzrechtswidrig? Ich denke, dass die Datenanalysen in deutschen Fußballvereinen durchaus datenschutzrechtlich begleitet werden sollten, um, falls erforderlich, entsprechend steuernd eingreifen zu können. Eine generelle Unzulässigkeit der Analysen kann ich jedoch nicht erkennen.

Abmahnung bei Datenschutzverstößen: Bundesrat nimmt Stellung und will noch mehr (Update)

Posted on by

Am 4. Februar 2015 hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Ich berichtete hierzu im Blog. Im Rahmen des ordentlichen Gesetzgebungsverfahrens, hat sich nun auch der Bundesrat mit dem Gesetzesentwurf zu befassen und wird auf seiner nächsten Sitzung am 27. März 2015 über die eigenen Empfehlungen hierzu beraten.

Die Empfehlungen des federführenden Rechtsausschusses, des Ausschusses für Agrarpolitik und Verbraucherschutz, des Ausschuss für Innere Angelegenheiten und des Wirtschaftsausschusses wurden nun veröffentlicht (BR-Drs. 55/1/15, PDF) und bergen einige Überraschungen. Das Dokument enthält die Vorschläge jedes Ausschusses und es werden nicht alle dort aufgeführten Vorschläge in die finale Stellungnahme des Bundesrates aufgenommen, da sich die Vorschläge teilweise auch ausschließen. Dennoch möchte ich nachfolgend auf einige der Empfehlungen der Ausschüsse eingehen, gerade weil auch völlig neue Vorschläge gemacht werden.

Kein genereller Anspruch auf Beseitigung
Der Wirtschaftsausschuss gibt zu bedenken (Ziff. 5), dass bislang kein Bedarf für einen Beseitigungsanspruch im Unterlassungsklagengesetz (UKlag) gesehen wurde und dieser nun im Rahmen des Gesetzesentwurfs neu eingeführt werden soll. Sollte der Beseitigungsanspruch generell und nicht nur spezifisch für Verstöße gegen das Datenschutzrecht eingeführt werden, bestünde vielmehr die Gefahr, dass die Unternehmen in diesem Bereich weitgehenden Forderungen ausgesetzt werden, deren finanzieller und organisatorischer Aufwand in keinem Verhältnis zu der begangenen Verletzung des Verbraucherschutzes stünden.

Erweiterung des Verletzungstatbestandes in § 2 Abs. 2 S. 1 Nr. 11 UKlaG
Der Ausschuss für Agrarpolitik und Verbraucherschutz schlägt vor (Ziff. 6), den Wortlaut der vorgeschlagenen Nr. 11 auf jenen des ursprünglichen Referentenentwurfs zu ändern und damit zu erweitern. Es soll dann heißen:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Dem Ausschuss für Verbraucherschutz ist dabei ein Dorn im Auge, dass der Gesetzesentwurf der Bundesregierung den Anwendungsbereich der Nr. 11 grundsätzlich auf Vorschriften beschränkt, „welche die Zulässigkeit regeln“. Zur Begründung führt der Ausschuss aus, dass insbesondere Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung nach den §§ 33, 34 und 35 Bundesdatenschutzgesetz (BDSG) erfasst werden sollten. Auch die Beschränkung der vorgeschlagenen Nr. 11 auf Datenverarbeitungen zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken kritisiert der Ausschuss.

Im Ergebnis strebt man hier also erneut jene unbestimmte Ausweitung der Vorschrift an, die bereits nach Veröffentlichung des Referentenentwurfs kritisiert und im Gesetzesentwurf folgerichtig nicht übernommen wurde.

Dieser Vorschlag des Ausschusses für Verbraucherschutz konkurriert mit einem Vorschlag des Ausschuss für Wirtschaft (Ziff. 7), der darum bittet, im weiteren Gesetzgebungsverfahren zu prüfen, wie die datenschutzrechtlichen Vorschriften, die für eine Verbandsklage in Betracht kommen sollen, konkretisiert und weiter eingegrenzt werden können. Der im Gesetzesentwurf verwendete Begriff der „vergleichbaren kommerziellen Zwecke“ erscheint nämlich zu weitgehend. Denn haben Unternehmen Kontakt mit Verbrauchern, ist eigentlich per se von einer kommerziellen Verarbeitung von Daten auszugehen. Wäre dann also praktisch jede Datenverarbeitung eines Unternehmens mit Bezug zu einem Verbraucher eine solche für „vergleichbare kommerzielle Zwecke“? Der Anwendungsbereich ist für den Wirtschaftsausschuss damit unklar und stellt für die Unternehmen eine Rechtsunsicherheit dar.

Gefahr paralleler Rechtstreitigkeiten durch Verbraucherverbände und Datenschutzbehörden
Der Innen- als auch der Wirtschaftsausschuss (Ziff. 11) möchten im weiteren Gesetzgebungsverfahren die Pflicht für Gerichte zur Anhörung der zuständigen Datenschutzbehörde um eine Verpflichtung der anspruchsberechtigten Stellen ergänzen. Danach soll die zuständige Datenschutzaufsichtsbehörde bereits vor außergerichtlicher Geltendmachung oder vor Klageerhebung unterrichtet und angehört werden. Die Datenschutzbehörden besitzen schließ0lich auch einen gesetzlichen Beratungsauftrag, auch für Unternehmen (§ 38 Abs. 1 S. 2 BDSG). Dieser Beratungsauftrag sowie das Vertrauen von Unternehmen in die Verbindlichkeit von Aussagen der Datenschutzaufsichtsbehörden würden nach Ansicht der beiden Ausschüsse erheblich geschwächt, wenn Aufsichtsbehörden bei ihrer Beratungstätigkeit keine Kenntnis von etwaigen durch die Verbände eingeleiteten, gleich gelagerten Parallelverfahren hätten.

Neu: Einführung eines allgemeinen Koppelungsverbots im BDSG
Sowohl der Rechtsausschuss als auch der Innenausschuss (Ziff. 12) schlagen völlig unabhängig von dem ursprünglichen Gesetzesentwurf eine Anpassung des § 28 Abs. 3b BDSG vor. Es soll ein allgemeines Koppelungsverbots im Datenschutzrecht eingeführt werden. Derzeit sieht § 28 Abs. 3b BDSG noch vor, dass die verantwortliche Stelle den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen abhängig machen darf, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Der letzte Teil des Satzes soll nun jedoch gestrichen werden: „Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen.“

Die mit diesem Vorschlag für die Einführung eines allgemeinen Koppelungsverbots verbundene Einschränkung der Vertragsgestaltungsfreiheit der Unternehmen erscheint für die Ausschüsse gerechtfertigt. Der Vorschlag zur entsprechenden Anpassung des BDSG ist jedoch nicht neu. Bereits im Rahmen der letzten BDSG-Novelle wurde ein solches allgemeines Kopplungsverbot durch den Bundesrat vorgeschlagen (BR-Drs. 4/09), jedoch am Ende nicht in das Gesetz aufgenommen.

Neu: Auskunftsrecht für Betroffene von Persönlichkeitsrechtsverletzungen
Der Rechtsausschuss schlägt zudem apart von den Anpassungen des Gesetzesentwurfs vor (Ziff. 15), dass im weiteren Gesetzgebungsverfahren geprüft werden möge, ob zur Umsetzung der Rechtsprechung des Bundesgerichtshofs (BGH) vom 1. Juli 2014 (Az. VI ZR 345/13) eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Persönlichkeitsrechtsverletzers erlangen kann. Der BGH hatte in diesem Urteil entschieden, dass ein Geschädigter mangels datenschutzrechtlicher Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG keinen Anspruch gegenüber einem Online-Bewertungsportal auf Auskunft über Namen und Anschrift desjenigen Nutzers habe, der in dem Portal unwahre und damit unzulässige Tatsachenbehauptungen über ihn aufstellt (hierzu der Kollege Thomas Stadler in seinem Blog). Der Portalbetreiber als Dienstanbieter i. S. d. TMG ist nach der Rechtsprechung daher nicht befugt, ohne die Einwilligung des Nutzers Auskünfte über dessen personenbezogene Daten zu erteilen. Für den Rechtsausschuss ist das Fehlen des Auskunftsanspruchs bedenklich und stellt eine Regelungslücke dar, welche durch den Gesetzgeber geschlossen werden muss.

Fazit
Die Ausschüsse im Bundesrat scheinen den Gesetzesentwurf genutzt zu haben, um nicht nur an dem Entwurf selbst inhaltlich Anpassungen vorzuschlagen, sondern auch noch weitere datenschutzrechtliche Themen, die eventuell schon etwas länger auf der gesetzgeberischen To-Do-Liste stehen, in das Gesetzgebungsverfahren einzuführen. Ob ein solches Vorgehen, unabhängig von der inhaltlichen Diskussion, in jeder Hinsicht begrüßenswert erscheint, mag man positiv oder negativ beantworten. Innenminister de Maizère hat erst letzte Woche angekündigt, dass man die Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) bis Juni im Rat abschließen möchte, um dann die Verhandlungen mit dem Parlament und der Kommission aufzunehmen. Wenn dann etwa im Jahre 2015 die Datenschutz-Grundverordnung verbindliches Recht in Europa wird, so müssen sich deutsche Regelungen zum Datenschutz an diesen Vorgaben messen lassen und werden aufgrund des Vorrangs des EU-Rechts im Zweifel unwirksam sein. Auch in der DS-GVO soll es etwa Vorgaben für ein Verbandsklagerecht von Verbraucherorganisationen geben. Die genauen Voraussetzungen und die Reichweite des Klagerechts ist derzeit aber noch umstritten. Bestehende deutsche Regelungen, die nun auf die schnelle noch ins Gesetz gegossen werden, würden dann jedoch ihre Wirksamkeit verlieren. Man würde also gesetzliche Vorgaben mit bereits jetzt bekannter Haltbarkeit schaffen. Der Sinn hinter einem solchen Vorgehen erschließt sich mir nicht unbedingt.

Update vom 27.3.2015:
Heute hat der Bundesrat über die oben erwähnten Ausschussempfehlungen abgestimmt. In der angenommenen Stellungnahme des Bundesrates (BR-Drs. 55/15(B)) sind die von mir oben angesprochenen Änderungswünsche, insbesondere die „Rückkehr“ zum Referentenentuwrf, das Kopplungsverbot und der Vorschlag zur Einführung eines Auskunftsanspruchs im TMG, enthalten. Es bleibt abzuwarten, wie und ob die vom Bundesrat vorgeschlagenen Änderungen im weiteren Gesetzgebungsverfahren Bestand haben werden.

Europäische Datenschutzbehörden prüfen Cookie-Einsatz auf beliebten Webseiten

Posted on by

Insgesamt acht europäische Datenschutzaufsichtsbehörden haben 478 besonders beliebte Webseiten und den datenschutzgerechten Einsatz von Cookies auf diesen Internetseiten untersucht, das gab die Art. 29 Datenschutzgruppe heute in einer Pressemitteilung (PDF) bekannt.

Mit dem Ergebnis der Prüfung waren die beteiligten Datenschutzbehörden insoweit zufrieden, als dass Webseitenbetreiber grundsätzlich über den Einsatz von Cookies informierten. Jedoch kritisiert die Art. 29 Datenschutzgruppe, dass viele Webseiten eine sehr große Anzahl an Cookies einsetzen, dass die automatischen Löschdaten der Cookies oft übertrieben lang vordefiniert seien und dass der Inhalt der dargebotenen Informationen zur Aufklärung nicht immer zufriedenstellend war. Zudem würden viele der geprüften Webseiten keine wirksame Einwilligung in den Einsatz von Cookies einholen.

Insbesondere auf den zuletzt genannten Kritikpunkt, das Fehlen einer wirksamen Einwilligung der Webseitenbesucher, gehen die Datenschützer in ihrer Pressemitteilung näher ein. Nach Ansicht der Art. 29 Datenschutzgruppe ist eine solche Einwilligung aufgrund der Vorgaben der europäischen Richtlinie 2002/58/EG (sog. E-Privacy-Richtlinie und deren Art. 5 Abs. 3) nicht nur beim Einsatz von Cookies, sondern etwa auch bei Technologien die dem Browser-Fingerprinting erforderlich. Die Einwilligung muss nach diesem Art. 5 Abs. 3 immer dann eingeholt werden, wenn Informationen gespeichert werden oder auf Informationen zugegriffen wird, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind.

Die beteiligten Behörden behalten sich ausdrücklich Durchsetzungsmaßnahmen in ihren Mitgliedstaaten auf der Grundlage der Ergebnisse der Prüfung vor.

Deutsche Behörden waren laut der Pressemitteilung der Art. 29 Datenschutzgruppe nicht an der Prüfaktion beteiligt. Erst letzte Woche habe ich hier über eine Entschließung der deutschen Datenschutzbehörden berichtet, die den deutschen Gesetzgeber kritisieren und eine richtlinenkonforme Umsetzung der E-Privacy-Richtlinie in das deutsche Recht fordern. Ihrer Ansicht nach wird nämlich im deutschen Datenschutzrecht nicht klar geregelt, dass der Einsatz von Cookies die Einwilligung von Betroffenen erfordert.

Bundesregierung: Gesundheits-Apps der Versicherungen nur mit Einwilligung möglich

Posted on by

Das Thema Gesundheitsdaten und Apps macht auch vor der deutschen Politik nicht halt. Letzte Woche hatte ich bereits berichtet, dass die europäischen Datenschützer kürzlich eine Stellungnahme zum Datenschutz bei Lifestyle-Apps und die Verarbeitung von Gesundheitsdaten veröffentlicht haben. Mobile Geräte und Apps auf solchen Geräten, um den eigenen Tagesablauf aufzuzeichnen, werden jedoch nicht unbedingt nur aus einem Fitness- oder Lifestyle-Gesichtspunkt angeschafft. Auch Versicherungsunternehmen sind an den so gesammelten Gesundheitsdaten interessiert, etwa um die Verträge und Tarife passgenauer auf ihre Kunden abstimmen zu können.

Eine nun veröffentlichten Antwort (PDF) der Bundesregierung auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag, setzt sich ebenfalls genauer mit der Frage des Datenschutzes bei Gesundheits-Apps und den Rechtsgrundlagen der Datenverarbeitung durch Versicherungen auseinander.

Die grundsätzliche Aussage der Bundesregierung:

Aus datenschutzrechtlicher Sicht ist die kontinuierliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten der Versicherten zu ihrem Gesundheitszustand durch private Krankenversicherungsunternehmen nur nach vorheriger ausdrücklicher Einwilligung der Versicherten zulässig.

Die Bundesregierung geht in ihrer Antwort noch etwas genauer auf die Anforderungen des hier einschlägigen § 4a Abs. 3 BDSG ein.

Bedarf für eine Gesetzesänderung sieht die Bundesregierung vor dem Hintergrund der laufenden Verhandlungen zur Datenschutz-Grundverordnung auf europäischer Ebene jedoch nicht. Man werde dort dafür eintreten, dass eine Einwilligung auch in Zukunft nur dann wirksam ist, wenn sie informiert und freiwillig erteilt wird. Darüber hinaus bestehe kein Bedarf, neue gesetzliche Regelungen zu treffen.

Interessant ist noch die Antwort der Bundesregierung auf die Frage, wie in Zukunft sichergestellt werden soll, dass Personen, die ein Angebot der Versicherungen zum Aufzeichnen ihrer Gesundheitsdaten über Apps bewusst nicht in Anspruch nehmen möchten, in der Folge nicht etwa höhere Versicherungsbeiträge zahlen müssen. Die Bundesregierung verweist darauf, dass § 203 des Versicherungsvertragsgesetzes (VVG) abschließend regele, unter welchen Voraussetzungen die Beiträge in der privaten Krankenversicherung erhöht werden können. Eine Weigerung von Betroffenen, an erweiterten Datensammlungen bezüglich ihrer Gesundheit und ihres Lebenswandels durch Apps oder andere mobile Anwendungen teilzunehmen, erfülle die Voraussetzungen des § 203 VVG nicht.

Auch weist die Bundesregierung darauf hin, dass es sich bei den so gesammelten Gesundheitsdaten um sehr persönliche und sensible Informationen handeln kann. Laut der Antwort haben daher die Versicherungsunternehmen sicherzustellen, dass Aspekte der Datensicherheit ausreichend berücksichtigt werden und die im § 9 BDSG vorgegebenen technischen und organisatorischen Maßnahmen (wie z. B. durch Verwendung eines dem aktuellen Stand der Technik entsprechenden Verschlüsselungsverfahrens) getroffen werden, um etwa zu vermeiden, dass durch Fehler oder kriminelle Energie personenbezogene Daten über das Versicherungsunternehmen hinaus verbreitet werden können.

Jedoch sieht die Bundesregierung nicht nur die Versicherungen in der Pflicht, wenn es um den Einsatz neuer Techniken und Methoden geht, Gesundheitsdaten zu sammeln und auszuwerten. Laut der Antwort geht die Regierung davon aus, dass

Versicherte sich der besonderen Bedeutung ihrer Daten zum persönlichen Lebenswandel und ihrem Gesundheitsverhalten bewusst sind und daher sorgsam und zurückhaltend mit der Weitergabe entsprechender Informationen umgehen.

Datenschutz und Lifestyle-Apps: Europäische Datenschützer fordern Schutz der Gesundheitsdaten

Posted on by

Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.

Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.

Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.

Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.

Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.

Gesetzliche Grundlage der Datenverarbeitung
Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.

Zu beachtende Datenschutzprinzipien
Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.

Datenschutzreform: Deutschland möchte Beschäftigtendatenschutz national regeln

Posted on by

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, KOM (2012)11, PDF) gehen auch im Jahr 2015 weiter. Ziel der Verordnung stellt die Vereinheitlichung des europäischen Datenschutzrechts dar, wobei die DS-GVO anders als derzeit die Datenschutz-Richtlinie, zwingende, durch die Mitgliedstaaten nicht mehr in nationales Recht umzusetzende, Vorgaben machen würde.

Doch ob es am Ende tatsächlich bei solch durchgehenden und für die Mitgliedstaaten zwingeden Vorschriften in der DS-GVO bleibt, kann immer mehr bezweifelt werden. So zeigt sich in den Verhandlungen im Rat der Europäischen Union, dass große Sympathie dafür besteht, gerade im Bereich der öffentlichen Verwaltung sog. Öffnungsklauseln in die DS-GVO einzubauen, die den Mitgliedstaaten eine eigene nationale Ausgestaltungen der Regelungen zur Datenverarbeitung in bestimmten Themenfeldern, z. B. Steuern oder Sozialversicherungen, ermöglichen sollen.

Beschäftigtendatenschutz
Ein Dokument (PDF) aus dem November 2014 zeigt nun, dass Deutschland diese Möglichkeit von abweichenden nationalen Regelungen jedoch nicht nur für den öffentlichen Bereich favorisiert. Auch der Beschäftigtendatenschutz und der Umgang mit Arbeitnehmerdaten soll in den einzelnen EU-Mitgliedstaaten selbstständig geregelt werden können, solange solche Regelungen noch dem grundsätzlichen Schutzniveau der DS-GVO entsprechen bzw. darüber hinausgehen.

Tarifverträge
Für die deutsche Delegation von besonderer Bedeutung ist dabei, dass auch zukünftig Tarifverträge und Betriebsvereinbarungen als Grundlagen für Datenverarbeitungen innerhalb eines Unternehmens anerkannt werden. Unter dem geltenden deutschen Datenschutzrecht ist dies bereits der Fall. Derzeit lasse sich, so die deutschen Delegation, aus dem Entwurf der DS-GVO jedoch in keinster Weise ableiten, ob ein Tarifvertrag oder eine Betriebsvereinbarung auch in Zukunft als Grundlage einer Datenverarbeitung dienen können. Die EU-Kommission habe diesbezüglich zwar auf Art. 6 Abs. 1 c) DS-GVO (Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung) verwiesen. Dieser Schluss ist für die deutsche Delegation jedoch nicht zwingend und weder aus dem Text der DS-GVO selbst, noch aus den Erwägungsgründen abzuleiten.

Einwilligung
Auch die Besonderheiten einer datenschutzrechtlichen Einwilligung des Arbeitnehmers in seinem Beschäftigungsverhältnis sollen stärker Berücksichtigung finden. Dazu schlägt die deutsche Delegation vor, dass in Zukunft das jeweilige nationale Datenschutzrecht die Anfroderungen festlegen kann, nach denen eine datenschutzrechtliche Einwilligung im Arbeitsverhältnis erteilt werden kann. Problematisch an derartigen Einwilligungen ist häufig ihre Wirksamkeit, da man an dem Erfordernis der „Freiwilligkeit“ einer solchen Willensbekundung im Zusammenhang mit einem Beschäftigungsverhältnis zweifeln kann.

Sollten sich solche Vorschläge im Ergebnis durchsetzen, wird man sich natürlich die Frage stellen müssen, inwiefern die angedachte europaweite Vereinheitlichung des Datenschutzrechts mit der DS-GVO noch erzielt werden kann. Denn viele nationale Spezialregelungen würden freileich dazu führen, dass man, trotz einer allgemeinen gemeinsamen und verbindlichen Grundlage, in der Praxis doch wieder verschiedene Vorgaben im Umgang mit personenbezogenen Daten innerhalb Europas zu beachten hätte.

Eine aktuelle Liste an den Verhandlungsdokumenten des Rates zur Datenschutz-Grundverordnung findet man hier im Blog.