Category Archives: Datenschutzrecht

Datenschutzbehörde kritisiert Big Data-Analysen in der Fußball-Bundesliga

Posted on by

Am vergangenen Freitag hat die Landesdatenschutzbeauftragte in Bremen ihren Jahresbericht für das Jahr 2014 (PDF) vorgestellt. In dem Bericht geht es unter anderem auch um Big Data-Analysen im Zusammenhang mit der Fußball-WM 2014 in Brasilien und den Einsatz modernen Analysetechnologien in der Fußball-Bundesliga.

In Ihrem Jahresbericht verweist die Landesdatenschützerin auf Presseberichte (aus dem Handelsblatt), nach denen in der Bundesliga unter anderem der TSG 1899 Hoffenheim und der FC Bayern München bei der Auswertung von Spielen und der Leistung der eigenen Spieler auf die Technologie der Softwarefirma SAP setzen.

Nach Auffassung der Landesdatenschützerin richtet sich die Rechtmäßigkeit der Verarbeitung personenbezogener Daten der Fußballspieler im Rahmen der Big Data-Analysen allein nach § 32 des Bundesdatenschutzgesetzes (BDSG). Denn die Spieler befinden sich mit dem jeweiligen Verein in einem Beschäftigtenverhältnis. Personenbezogene Daten der Fußballspieler dürfen im Rahmen einer solchen Rechtsbeziehung nach § 32 Abs. 1 S. 1 BDSG

für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Nach Ansicht der Landesdatenschützerin sind jedoch Datenanalysen zum Zwecke der Steigerung der Leistung einzelner Spieler oder auch der Effektivität der Mannschaftsleistung nicht von diesem Erlaubnistatbestand erfasst. In ihrem Jahresbericht führt sie zu der Erlaubnis des § 32 Abs. 1 S. 1 BDSG aus:

Von wirtschaftlichem oder sportlichem Erfolg, der durch Datenverarbeitungen gefördert werden soll, steht da nichts. (Jahresbericht, S. 11)

Bereits diese Auffassung ist meiner Ansicht nach zu eng. Natürlich kann in einem allgemein gültigen Bundesdatenschutzgesetz nichts von „wirtschaftlichem und sportlichen Erfolg“ stehen. Es handelt sich nicht um ein „Fußballdatenschutzgesetz“ oder ähnliches. Die Vorschrift ist absichtlich offen und neutral formuliert, um dem weiten Anwendungsbereich des BDSG zu entsprechen.

Zudem: was, wenn nicht der sportliche und sich damit logischerweise einstellende wirtschaftliche Erfolg ist Gegenstand des Beschäftigungsverhältnisses zwischen einem Fußballverein und seinem angestellten Spieler? Zur Durchführung des Beschäftigungsverhältnisses kann es meiner Ansicht nach daher durchaus erforderlich sein, die während eines Spiels gesammelten Daten auszuwerten.

Man mag meinen, dass als datenschutzrechtlicher „Ausweg“ dann noch die Einwilligung des Fußballspielers in Betracht kommt. Denn wenn doch der Spieler selbst mit der Analyse der Daten einverstanden ist, dann kann doch wohl kein Zweifel an der Rechtmäßigkeit der Datenverarbeitung bestehen. Doch leider sieht die Landesdatenschützerin (und im Übrigen auch viele andere Landesdatenschützer) auch dieses Vorgehen als rechtlich zweifelhaft an. Die einer Einwilligung notwendig innewohnende Freiwilligkeit soll nämlich in einem Beschäftigungsverhältnis nicht gegeben sein. Damit würde eine wichtige Voraussetzung für die Wirksamkeit der Einwilligung fehlen. Die Landesdatenschutzbeauftragte führt aus:

auch im Verhältnis zwischen hoch verdienenden Bundesligaprofis und ihren Vereinen muss an die Freiwilligkeit von Einwilligungen ein Fragezeichen gesetzt werden. (Jahresbericht, S. 11)

Auch diese Auffassung ist meiner Ansicht nach zumindest angreifbar. Denn zu Ende gedacht würde man damit den betroffenen Arbeitnehmer, hier den Fußballprofi, datenschutzrechtlich entmündigen. Man würde ihm die grundrechtlich geschützte Möglichkeit nehmen, sein Recht auf informationelle Selbstbestimmung auszuüben, wenn für die Frage der Zulässigkeit der Einwilligung nur noch objektive Kriterien und Perspektiven Dritter entscheidend wären.

Sind also die derzeit in der Fußball Bundesliga durchgeführten Big Data-Analysen datenschutzrechtswidrig? Ich denke, dass die Datenanalysen in deutschen Fußballvereinen durchaus datenschutzrechtlich begleitet werden sollten, um, falls erforderlich, entsprechend steuernd eingreifen zu können. Eine generelle Unzulässigkeit der Analysen kann ich jedoch nicht erkennen.

Abmahnung bei Datenschutzverstößen: Bundesrat nimmt Stellung und will noch mehr (Update)

Posted on by

Am 4. Februar 2015 hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Ich berichtete hierzu im Blog. Im Rahmen des ordentlichen Gesetzgebungsverfahrens, hat sich nun auch der Bundesrat mit dem Gesetzesentwurf zu befassen und wird auf seiner nächsten Sitzung am 27. März 2015 über die eigenen Empfehlungen hierzu beraten.

Die Empfehlungen des federführenden Rechtsausschusses, des Ausschusses für Agrarpolitik und Verbraucherschutz, des Ausschuss für Innere Angelegenheiten und des Wirtschaftsausschusses wurden nun veröffentlicht (BR-Drs. 55/1/15, PDF) und bergen einige Überraschungen. Das Dokument enthält die Vorschläge jedes Ausschusses und es werden nicht alle dort aufgeführten Vorschläge in die finale Stellungnahme des Bundesrates aufgenommen, da sich die Vorschläge teilweise auch ausschließen. Dennoch möchte ich nachfolgend auf einige der Empfehlungen der Ausschüsse eingehen, gerade weil auch völlig neue Vorschläge gemacht werden.

Kein genereller Anspruch auf Beseitigung
Der Wirtschaftsausschuss gibt zu bedenken (Ziff. 5), dass bislang kein Bedarf für einen Beseitigungsanspruch im Unterlassungsklagengesetz (UKlag) gesehen wurde und dieser nun im Rahmen des Gesetzesentwurfs neu eingeführt werden soll. Sollte der Beseitigungsanspruch generell und nicht nur spezifisch für Verstöße gegen das Datenschutzrecht eingeführt werden, bestünde vielmehr die Gefahr, dass die Unternehmen in diesem Bereich weitgehenden Forderungen ausgesetzt werden, deren finanzieller und organisatorischer Aufwand in keinem Verhältnis zu der begangenen Verletzung des Verbraucherschutzes stünden.

Erweiterung des Verletzungstatbestandes in § 2 Abs. 2 S. 1 Nr. 11 UKlaG
Der Ausschuss für Agrarpolitik und Verbraucherschutz schlägt vor (Ziff. 6), den Wortlaut der vorgeschlagenen Nr. 11 auf jenen des ursprünglichen Referentenentwurfs zu ändern und damit zu erweitern. Es soll dann heißen:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Dem Ausschuss für Verbraucherschutz ist dabei ein Dorn im Auge, dass der Gesetzesentwurf der Bundesregierung den Anwendungsbereich der Nr. 11 grundsätzlich auf Vorschriften beschränkt, „welche die Zulässigkeit regeln“. Zur Begründung führt der Ausschuss aus, dass insbesondere Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung nach den §§ 33, 34 und 35 Bundesdatenschutzgesetz (BDSG) erfasst werden sollten. Auch die Beschränkung der vorgeschlagenen Nr. 11 auf Datenverarbeitungen zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken kritisiert der Ausschuss.

Im Ergebnis strebt man hier also erneut jene unbestimmte Ausweitung der Vorschrift an, die bereits nach Veröffentlichung des Referentenentwurfs kritisiert und im Gesetzesentwurf folgerichtig nicht übernommen wurde.

Dieser Vorschlag des Ausschusses für Verbraucherschutz konkurriert mit einem Vorschlag des Ausschuss für Wirtschaft (Ziff. 7), der darum bittet, im weiteren Gesetzgebungsverfahren zu prüfen, wie die datenschutzrechtlichen Vorschriften, die für eine Verbandsklage in Betracht kommen sollen, konkretisiert und weiter eingegrenzt werden können. Der im Gesetzesentwurf verwendete Begriff der „vergleichbaren kommerziellen Zwecke“ erscheint nämlich zu weitgehend. Denn haben Unternehmen Kontakt mit Verbrauchern, ist eigentlich per se von einer kommerziellen Verarbeitung von Daten auszugehen. Wäre dann also praktisch jede Datenverarbeitung eines Unternehmens mit Bezug zu einem Verbraucher eine solche für „vergleichbare kommerzielle Zwecke“? Der Anwendungsbereich ist für den Wirtschaftsausschuss damit unklar und stellt für die Unternehmen eine Rechtsunsicherheit dar.

Gefahr paralleler Rechtstreitigkeiten durch Verbraucherverbände und Datenschutzbehörden
Der Innen- als auch der Wirtschaftsausschuss (Ziff. 11) möchten im weiteren Gesetzgebungsverfahren die Pflicht für Gerichte zur Anhörung der zuständigen Datenschutzbehörde um eine Verpflichtung der anspruchsberechtigten Stellen ergänzen. Danach soll die zuständige Datenschutzaufsichtsbehörde bereits vor außergerichtlicher Geltendmachung oder vor Klageerhebung unterrichtet und angehört werden. Die Datenschutzbehörden besitzen schließ0lich auch einen gesetzlichen Beratungsauftrag, auch für Unternehmen (§ 38 Abs. 1 S. 2 BDSG). Dieser Beratungsauftrag sowie das Vertrauen von Unternehmen in die Verbindlichkeit von Aussagen der Datenschutzaufsichtsbehörden würden nach Ansicht der beiden Ausschüsse erheblich geschwächt, wenn Aufsichtsbehörden bei ihrer Beratungstätigkeit keine Kenntnis von etwaigen durch die Verbände eingeleiteten, gleich gelagerten Parallelverfahren hätten.

Neu: Einführung eines allgemeinen Koppelungsverbots im BDSG
Sowohl der Rechtsausschuss als auch der Innenausschuss (Ziff. 12) schlagen völlig unabhängig von dem ursprünglichen Gesetzesentwurf eine Anpassung des § 28 Abs. 3b BDSG vor. Es soll ein allgemeines Koppelungsverbots im Datenschutzrecht eingeführt werden. Derzeit sieht § 28 Abs. 3b BDSG noch vor, dass die verantwortliche Stelle den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen abhängig machen darf, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Der letzte Teil des Satzes soll nun jedoch gestrichen werden: „Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen.“

Die mit diesem Vorschlag für die Einführung eines allgemeinen Koppelungsverbots verbundene Einschränkung der Vertragsgestaltungsfreiheit der Unternehmen erscheint für die Ausschüsse gerechtfertigt. Der Vorschlag zur entsprechenden Anpassung des BDSG ist jedoch nicht neu. Bereits im Rahmen der letzten BDSG-Novelle wurde ein solches allgemeines Kopplungsverbot durch den Bundesrat vorgeschlagen (BR-Drs. 4/09), jedoch am Ende nicht in das Gesetz aufgenommen.

Neu: Auskunftsrecht für Betroffene von Persönlichkeitsrechtsverletzungen
Der Rechtsausschuss schlägt zudem apart von den Anpassungen des Gesetzesentwurfs vor (Ziff. 15), dass im weiteren Gesetzgebungsverfahren geprüft werden möge, ob zur Umsetzung der Rechtsprechung des Bundesgerichtshofs (BGH) vom 1. Juli 2014 (Az. VI ZR 345/13) eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Persönlichkeitsrechtsverletzers erlangen kann. Der BGH hatte in diesem Urteil entschieden, dass ein Geschädigter mangels datenschutzrechtlicher Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG keinen Anspruch gegenüber einem Online-Bewertungsportal auf Auskunft über Namen und Anschrift desjenigen Nutzers habe, der in dem Portal unwahre und damit unzulässige Tatsachenbehauptungen über ihn aufstellt (hierzu der Kollege Thomas Stadler in seinem Blog). Der Portalbetreiber als Dienstanbieter i. S. d. TMG ist nach der Rechtsprechung daher nicht befugt, ohne die Einwilligung des Nutzers Auskünfte über dessen personenbezogene Daten zu erteilen. Für den Rechtsausschuss ist das Fehlen des Auskunftsanspruchs bedenklich und stellt eine Regelungslücke dar, welche durch den Gesetzgeber geschlossen werden muss.

Fazit
Die Ausschüsse im Bundesrat scheinen den Gesetzesentwurf genutzt zu haben, um nicht nur an dem Entwurf selbst inhaltlich Anpassungen vorzuschlagen, sondern auch noch weitere datenschutzrechtliche Themen, die eventuell schon etwas länger auf der gesetzgeberischen To-Do-Liste stehen, in das Gesetzgebungsverfahren einzuführen. Ob ein solches Vorgehen, unabhängig von der inhaltlichen Diskussion, in jeder Hinsicht begrüßenswert erscheint, mag man positiv oder negativ beantworten. Innenminister de Maizère hat erst letzte Woche angekündigt, dass man die Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) bis Juni im Rat abschließen möchte, um dann die Verhandlungen mit dem Parlament und der Kommission aufzunehmen. Wenn dann etwa im Jahre 2015 die Datenschutz-Grundverordnung verbindliches Recht in Europa wird, so müssen sich deutsche Regelungen zum Datenschutz an diesen Vorgaben messen lassen und werden aufgrund des Vorrangs des EU-Rechts im Zweifel unwirksam sein. Auch in der DS-GVO soll es etwa Vorgaben für ein Verbandsklagerecht von Verbraucherorganisationen geben. Die genauen Voraussetzungen und die Reichweite des Klagerechts ist derzeit aber noch umstritten. Bestehende deutsche Regelungen, die nun auf die schnelle noch ins Gesetz gegossen werden, würden dann jedoch ihre Wirksamkeit verlieren. Man würde also gesetzliche Vorgaben mit bereits jetzt bekannter Haltbarkeit schaffen. Der Sinn hinter einem solchen Vorgehen erschließt sich mir nicht unbedingt.

Update vom 27.3.2015:
Heute hat der Bundesrat über die oben erwähnten Ausschussempfehlungen abgestimmt. In der angenommenen Stellungnahme des Bundesrates (BR-Drs. 55/15(B)) sind die von mir oben angesprochenen Änderungswünsche, insbesondere die „Rückkehr“ zum Referentenentuwrf, das Kopplungsverbot und der Vorschlag zur Einführung eines Auskunftsanspruchs im TMG, enthalten. Es bleibt abzuwarten, wie und ob die vom Bundesrat vorgeschlagenen Änderungen im weiteren Gesetzgebungsverfahren Bestand haben werden.

Empfehlung im Bundesrat: Mehr Einsatz für den Schutz von Beschäftigtendaten

Posted on by

Am 27. März 2015 wird der Bundesrat erneut tagen. Auf der Tagesordnung wird auch die Stellungnahme des Bundesrates zum Jahreswirtschaftsbericht 2015 der Bundesregierung (BT-Drs. 18/3840, PDF) stehen.

Der im Bundesrat für die Beratung zu dem Jahreswirtschaftsbericht 2015 federführend verantwortliche Wirtschaftsausschuss möchte dem Bundesrat empfehlen, dass sich die Bundesregierung in den Verhandlungen um die Datenschutz-Grundverordnung im Rat der Europäischen Union verstärkt für die Berücksichtigung der Belange der Arbeitnehmer in einer digitalisierten Arbeitswelt einzusetzen. Dies geht aus der Empfehlung des Wirtschaftsausschusses (BR-Drs. 31/1/15, PDF) vom 13. März 2015 hervor.

Danach empfiehlt der Ausschuss dem Bundesrat festzustellen, dass

mit einer stärkeren Digitalisierung das Potenzial für neue Arbeitsplätze in Industrie, Dienstleistung und Handel besteht.

Gleichzeitig weist die Empfehlung des Wirtschaftsausschusses jedoch auch auf Risiken einer verstärkten Digitalisierung des Arbeitsmarktes hin. Nach Ansicht der Verfasser der Empfehlung bestehen diese vor allem in einer Schwächung der betrieblichen Mitbestimmung und in einem Missbrauch von Beschäftigtendaten, der verhindert werden müsse.

Nach der Empfehlung des Wirtschaftsausschusses soll der Bundesrat die Bundesregierung in diesem Zusammenhang darum bitten,

sich darüber hinaus im Europäischen Rat für die Berücksichtigung der Belange im Rahmen der Beratung und Beschlussfassung hinsichtlich einer Datenschutz-Grundverordnung und der Gestaltung des Digitalen Binnenmarktes einzusetzen.

Die Datenschutzreform wird missbraucht – oder: Der Mythos Zweckbindung

Posted on by

In den letzten Tagen wurde in der Öffentlichkeit über einer Verwässerung des geplanten Datenschutzrechts und entsprechend negativ zu bewertende Änderungsvorschlage im Rat der Europäischen Union berichtet. Das schlimmste „Änderungswasser“ fließe vor allem aus deutschen Quelle.

Der Kollege Thomas Stadler hat nun bereits zweimal zu der derzeitigen Diskussion und meines Erachtens absolut verzerrenden Berichterstattung rund um die Verhandlungen zur Datenschutz-Grundverordnung geblogged und seine (meines Erachtens zu begrüßende) Kritik dargelegt: einmal hier und einmal dort . Ich selbst habe auf einen bisher im Prinzip gar nicht angesprochenen, aber für die Praxis immens wichtigen Änderungsantrag hingewiesen und wollte eigentlich nichts zu der allgemeinen Diskussion „gute Nation/böse Nation“ im Rat der Europäischen Union schreiben.
Jetzt möchte ich aber doch etwas inhaltliches(!) zu der Diskussion um die angebliche Abschaffung des Zweckbindungsgrundsatzes durch die Änderungsanträge im Rat schreiben. Mir geht es dabei gar nicht um die Diskussion, ob man den Zweckbindungsgrundsatz stärken oder abschwächen oder gar abschaffen möchte. Darüber kann und sollte man auf jeden Fall diskutieren. Mir geht es hierbei um eine schlicht falsche Darstellung der Zusammenhänge, vor allem mit Blick auf die aktuell geltende Rechtslage. Denn ich finde eine ausgewogene Berichterstattung, die den Anspruch hat, die Leser vollumfänglich zu informieren, darf bzw. sollte nicht tendenziös erfolgen. Also, nun mein kurzer Beitrag zu diesem fast schon als „Missbrauch“ zu bezeichnende tendenziös negative Berichtserstattung zur Datenschutzgrundverordnung und der Rolle Deutschlands.

Kennt die EU-Grundrechtecharta (PDF) den Zweckbindungsgrundsatz?

Ja. In Art. 8 Abs. 2 heißt es: „Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.“ (Hervorhebung durch mich)
Aber: hier wird eine Zweckänderung ja gerade nicht ausgeschlossen. Auch die Weiterverarbeitung erfolgt ja zu irgendeinem bestimmten Zweck. Klar, dieser ist dann ein anderer als jener der der Erhebung der Daten zugrunde lag. Aber er ist dennoch „festgelegt“. Damit ist Art. 8 Abs. 2 Genüge getan.

Kennt die aktuell geltende Datenschutz-Richtlinie das Verbot einer zweckändernden Verarbeitung?

Nein. Art. 6 Abs. 1 b) legt fest, dass personenbezogene Daten für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.

Zunächst einmal: der komplette zweite Halbsatz wäre überflüssig, wenn eine zweckändernde Weiterverarbeitung nicht zulässig wäre. Diese ist vielmehr gerade möglich. Die Weiterverarbeitung darf nicht in einer mit der Zweckbestimmung nicht zu vereinbarenden Weise erfolgen. Die „Weise“ ist aber etwas anderes als die reine Gegenüberstellung „ursprünglicher Zweck – neuer Zweck“. Es geht um die Umstände der Weiterverarbeitung. Dazu gehört auch der Zweck, aber auch Grundlage der Weiterverarbeitung oder getroffene Datensicherheitsmaßnahme (vgl. dazu auch die Stellungnahme von Sebastian Brüggemann und mir).

Verbietet das deutsche Datenschutzrecht eine zweckändernde Verarbeitung?

Nein, absolut nicht. § 28 Abs. 2 BDSG sieht vielmehr gerade die Möglichkeit der „Übermittlung oder Nutzung für einen anderen Zweck“ vor. Und dann auch noch nach § 28 Abs. 2 Nr. 2 BDSG „soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten“. Also, die Zweckänderung ist bereits derzeit(!) absolut zulässig und gesetzlich nicht etwa verboten (auch nicht wenn es um die Wahrung von Interessen Dritter geht), sondern gerade erlaubt.

Leider leider erwähnt diesen gesetzlichen Ist-Zustand in der öffentlichen Debatte und bei der Bewertung der Änderungsanträge der deutschen Delegation gegenüber den Lesern kaum jemand. Das ist wirklich schade. Denn nur so erhält man als nach Informationen suchender Leser ein Gesamtbild, oder? Die Datenschutzreform ist meines Erachtens für uns alle in Europa eine wirklich tolle Chance, ein Gesetz zum Umgang mit personenbezogenen Daten zu schaffen, das weltweite Standards setzen. Ja, wir sollten inhaltlich diskutieren. Bitte soviel wie möglich. Wir sollten den Datenschutz vorran bringen. Aber wir sollten die Reform nicht nutzen, um fundamentale Positionen völlig ab von der Realität zu zementieren.

Datenschutzreform: Konzerninterne Datentransfers sollen erleichtert werden

Posted on by

Der Rat der Europäischen Union und insbesondere die Ratsarbeitsgruppe, die sich mit der Reform des europäischen Datenschutzrechts befasst (Dapix), sind in diesen Tagen nicht zu beneiden. Nach der Veröffentlichung von Verhandlungsdokumenten (auf statewatch.org und edri.org zu finden) zu den neuesten Änderungen an dem Entwurf für eine Datenschutz-Grundverordnung, ging ein Kritikgewitter auf die Dapix nieder (u.a. bei heise online, futurezone.at und Tagesspiegel).

Ob die Kritik berechtigt ist oder nicht, möchte ich hier nicht näher untersuchen. Mir ist bei einem flüchtigen Blick auf eines der betreffenden Dokumente (Kapitel 2, (Englisch) PDF) vielmehr ein aus der Praxis positiv zu bewertender Änderungsantrag aus Deutschland ins Auge gestochen.

In einem neuen Erwägungsgrund 38a schlägt Deutschland vor, dass in Zukunft Datenübermittlungen innerhalb von Unternehmensgruppen bzw. eines Konzerns, grundsätzlich aufgrund eines berechtigten Interesses der Verantwortlichen Stelle erlaubt sein sollen. Voraussetzung ist unter anderem, dass die Übermittlung für verwaltungsinterne bzw. administrative Zwecke erfolgt.

Das Thema des sog. Konzernprivilegs (bzw. sein Fehlen im Datenschutzrecht) wäre mit dieser Änderung zumindest eingeschränkt erledigt. Derzeit müssen auch Datentransfers in einer Unternehmensgruppe auf eine Einwilligung oder einen gesetzlichen Erlaubnistatbestand gestützt werden. Es existiert kein Privileg des konzerninternen Datentransfers. Es handelt sich datenschutzrechtlich um eine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 BDSG. Der deutsche Vorschlag würde nun zwar einem Datentransfers nicht seine Natur einer Übermittlung nach dem Gesetz nehmen (daher meine Wortwahl des eingeschränkten Konzernprivilegs). Jedoch wäre diese Übermittlung in bestimmten Fällen von vornherein erlaubt.

Einen ähnlichen Vorschlag, jedoch nicht nur in der Form eines Erwägungsgrundes, sondern direkt als einen neuen Art. 22 Abs. 3a, hat auch das Europäische Parlament in seiner Entschließung zur Datenschutz-Grundverordnung im März 2014 gemacht.

Was letztendlich von diesem Vorschlag der deutschen Delegation im Rat übrig bleibt, muss man abwarten. Denn über diesen Änderungsantrag dürfte noch nicht in Gänze zwischen den Mitgliedstaaten diskutiert worden sein. Sollte es ein solcher Erwägungsgrund jedoch in die Verhandlungen zwischen Kommission, Parlament und Rat schaffen, so stünden die Chancen aufgrund des ähnlichen Vorschlags aus dem Parlament, bestimmt nicht schlecht, dass wir am Ende zumindest ein „eingeschränktes Konzernprivileg“ erhalten.

Besuch von EU-Datenschützern: Google stimmt Vor-Ort-Kontrollen in den USA zu

Posted on by

Am 20. Februar 2015 gab die italienische Datenschutzbehörde bekannt, dass man sich im Rahmen eines Prüfverfahrens der Datenschutzrichtlinie des Suchmaschinenbetreibers Google und der Verarbeitung von personenbezogenen Daten von Nutzern, auf verschiedene Umsetzungs- und Änderungsmaßnahmen geeinigt habe, die von der Behörde vorgeschlagen wurden.

Danach wird Google bis zum Januar 2016 unter anderem die Art und die Form seiner Datenschutzhinweise überarbeiten. Die Informationen darüber, wie Google personenbezogene Daten verarbeitet sollen noch deutlicher und klarer abgefasst werden. Zudem soll der Suchmaschinenbetreiber auch die Einwilligung von Nutzern einholen, wenn deren Verhalten über verschiedene angebotene Dienste hinweg in Profilen gespeichert werden soll. Auch bei der Speicherdauer von Kundendaten soll Google nach den Wünschen den italienischen Datenschützer nachbessern. Insbesondere soll es in Zukunft festgelegte Zeiträume geben, nach denen nicht mehr erforderliche Nutzerdaten und Backups gelöscht werden müssen.

Google hat den durch die italienische Behörde vorgegebenen Änderungsmaßnahmen zugestimmt und hat nun bis Januar 2016 Zeit, diese umzusetzen. Um den Fortgang der Maßnahmen zu prüfen, erhält die italienische Datenschutzbehörde das Recht, Vor-Ort-Kontrollen am Hauptsitz des Suchmaschinenbetreibers in Kalifornien durchzuführen. Nach den Informationen der Behörde, ist dieses Vorgehen und auch das Zugeständnis von Google, die italienischen Datenschützer am Hauptsitz in den USA die Kontrolle der Änderungen zu ermöglichen, eine Premiere im europäischen Datenschutzrecht.

Das Verfahren der italienischen Behörde steht im Zusammenhang mit einer breiter angelegten Prüfaktion verschiedener Datenschutzbehörden in ganz Europa. Diese begannen mit der Einführung der neuen Datenschutzerklärung beim Suchmaschinenbetreiber im Jahre 2012. Erst kürzlich einigte sich Google etwa auch mit der Datenschutzbehörde in England (hierzu mein Beitrag). In Deutschland läuft derzeit noch ein Verfahren beim Hamburgischen Beauftragten für den Datenschutz.

Berliner Datenschutzbeauftragter: Safe Harbor am Ende?

Posted on by

Am 28. Januar 2015 wurde der 9. Europäische Datenschutztag gefeiert. Die deutschen Datenschutzaufsichtsbehörden nahmen dies bei der von Ihnen gemeinsam in Berlin initiieren Veranstaltung zum Anlass, um zuvor auf einer Pressekonferenz Kritik an der derzeitigen Praxis von Datentransfers in die USA zu üben (vgl. die Meldung bei heise online).

Nach Auffassung der deutschen Behörden können Datenübermittlungen in die USA nicht mehr ohne weiteres auf das bestehende Instrument „Safe Harbor“ gestützt werden. Hierbei handelt es sich um eine Entscheidung der Europäischen Kommission, die Unternehmen, welche sich einem freiwilligen Selbstzertifizierungssystem unterwerfen, ein angemessenes Datenschutzniveau bescheinigt und damit auch Übermittlungen personenbezogener Daten an diese Unternehmen aus der Europäischen Union gestattet (zu Safe Harbor hatte ich bereits früher einmal gebloggt).

Die deutschen Behörden haben nach der Safe Harbor Entscheidung unter bestimmten Voraussetzungen die Befugnis, einzelne Datenübermittlungen in die USA zu untersagen, insbesondere wenn die Vorgaben der Entscheidung systematisch verletzt werden würden. Aus Sicht der deutschen Aufsichtsbehörden sind die Voraussetzungen derzeit erfüllt. Aus diesem Grund wurden in Berlin und Bremen auch entsprechende Verwaltungsverfahren eingeleitet, die konkrete und laufende Datenübermittlungen unterbinden sollen. Diese laufen gegenwärtig noch und sind nicht abgeschlossen.

Der Berliner Datenschutzbeauftragte, Dr. Dix, hat im Rahmen der Veranstaltung am 28. Januar 2015 in Berlin einen Vortrag zum gegenwärtigen Stand von Safe Harbor aus Sicht der Aufsichtsbehörden gehalten. Dieser Vortrag ist nun kostenlos abrufbar (PDF) und durchaus interessant zu lesen, auch wenn man freilich nicht jeder in dem Beitrag vertretenen Ansichten folgen muss.

Wie es mit Safe Harbor weitergeht, bleibt abzuwarten. Das Vorabentscheidungsersuchen des irischen High Court an den EuGH im Verfahren zwischen Max Schrems und der irischen Datenschutzbehörde, dürfte die nächste wichtige Wegmarke darstellen.

Europäische Datenschutzbehörden prüfen Cookie-Einsatz auf beliebten Webseiten

Posted on by

Insgesamt acht europäische Datenschutzaufsichtsbehörden haben 478 besonders beliebte Webseiten und den datenschutzgerechten Einsatz von Cookies auf diesen Internetseiten untersucht, das gab die Art. 29 Datenschutzgruppe heute in einer Pressemitteilung (PDF) bekannt.

Mit dem Ergebnis der Prüfung waren die beteiligten Datenschutzbehörden insoweit zufrieden, als dass Webseitenbetreiber grundsätzlich über den Einsatz von Cookies informierten. Jedoch kritisiert die Art. 29 Datenschutzgruppe, dass viele Webseiten eine sehr große Anzahl an Cookies einsetzen, dass die automatischen Löschdaten der Cookies oft übertrieben lang vordefiniert seien und dass der Inhalt der dargebotenen Informationen zur Aufklärung nicht immer zufriedenstellend war. Zudem würden viele der geprüften Webseiten keine wirksame Einwilligung in den Einsatz von Cookies einholen.

Insbesondere auf den zuletzt genannten Kritikpunkt, das Fehlen einer wirksamen Einwilligung der Webseitenbesucher, gehen die Datenschützer in ihrer Pressemitteilung näher ein. Nach Ansicht der Art. 29 Datenschutzgruppe ist eine solche Einwilligung aufgrund der Vorgaben der europäischen Richtlinie 2002/58/EG (sog. E-Privacy-Richtlinie und deren Art. 5 Abs. 3) nicht nur beim Einsatz von Cookies, sondern etwa auch bei Technologien die dem Browser-Fingerprinting erforderlich. Die Einwilligung muss nach diesem Art. 5 Abs. 3 immer dann eingeholt werden, wenn Informationen gespeichert werden oder auf Informationen zugegriffen wird, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind.

Die beteiligten Behörden behalten sich ausdrücklich Durchsetzungsmaßnahmen in ihren Mitgliedstaaten auf der Grundlage der Ergebnisse der Prüfung vor.

Deutsche Behörden waren laut der Pressemitteilung der Art. 29 Datenschutzgruppe nicht an der Prüfaktion beteiligt. Erst letzte Woche habe ich hier über eine Entschließung der deutschen Datenschutzbehörden berichtet, die den deutschen Gesetzgeber kritisieren und eine richtlinenkonforme Umsetzung der E-Privacy-Richtlinie in das deutsche Recht fordern. Ihrer Ansicht nach wird nämlich im deutschen Datenschutzrecht nicht klar geregelt, dass der Einsatz von Cookies die Einwilligung von Betroffenen erfordert.

Bundesregierung: Gesundheits-Apps der Versicherungen nur mit Einwilligung möglich

Posted on by

Das Thema Gesundheitsdaten und Apps macht auch vor der deutschen Politik nicht halt. Letzte Woche hatte ich bereits berichtet, dass die europäischen Datenschützer kürzlich eine Stellungnahme zum Datenschutz bei Lifestyle-Apps und die Verarbeitung von Gesundheitsdaten veröffentlicht haben. Mobile Geräte und Apps auf solchen Geräten, um den eigenen Tagesablauf aufzuzeichnen, werden jedoch nicht unbedingt nur aus einem Fitness- oder Lifestyle-Gesichtspunkt angeschafft. Auch Versicherungsunternehmen sind an den so gesammelten Gesundheitsdaten interessiert, etwa um die Verträge und Tarife passgenauer auf ihre Kunden abstimmen zu können.

Eine nun veröffentlichten Antwort (PDF) der Bundesregierung auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag, setzt sich ebenfalls genauer mit der Frage des Datenschutzes bei Gesundheits-Apps und den Rechtsgrundlagen der Datenverarbeitung durch Versicherungen auseinander.

Die grundsätzliche Aussage der Bundesregierung:

Aus datenschutzrechtlicher Sicht ist die kontinuierliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten der Versicherten zu ihrem Gesundheitszustand durch private Krankenversicherungsunternehmen nur nach vorheriger ausdrücklicher Einwilligung der Versicherten zulässig.

Die Bundesregierung geht in ihrer Antwort noch etwas genauer auf die Anforderungen des hier einschlägigen § 4a Abs. 3 BDSG ein.

Bedarf für eine Gesetzesänderung sieht die Bundesregierung vor dem Hintergrund der laufenden Verhandlungen zur Datenschutz-Grundverordnung auf europäischer Ebene jedoch nicht. Man werde dort dafür eintreten, dass eine Einwilligung auch in Zukunft nur dann wirksam ist, wenn sie informiert und freiwillig erteilt wird. Darüber hinaus bestehe kein Bedarf, neue gesetzliche Regelungen zu treffen.

Interessant ist noch die Antwort der Bundesregierung auf die Frage, wie in Zukunft sichergestellt werden soll, dass Personen, die ein Angebot der Versicherungen zum Aufzeichnen ihrer Gesundheitsdaten über Apps bewusst nicht in Anspruch nehmen möchten, in der Folge nicht etwa höhere Versicherungsbeiträge zahlen müssen. Die Bundesregierung verweist darauf, dass § 203 des Versicherungsvertragsgesetzes (VVG) abschließend regele, unter welchen Voraussetzungen die Beiträge in der privaten Krankenversicherung erhöht werden können. Eine Weigerung von Betroffenen, an erweiterten Datensammlungen bezüglich ihrer Gesundheit und ihres Lebenswandels durch Apps oder andere mobile Anwendungen teilzunehmen, erfülle die Voraussetzungen des § 203 VVG nicht.

Auch weist die Bundesregierung darauf hin, dass es sich bei den so gesammelten Gesundheitsdaten um sehr persönliche und sensible Informationen handeln kann. Laut der Antwort haben daher die Versicherungsunternehmen sicherzustellen, dass Aspekte der Datensicherheit ausreichend berücksichtigt werden und die im § 9 BDSG vorgegebenen technischen und organisatorischen Maßnahmen (wie z. B. durch Verwendung eines dem aktuellen Stand der Technik entsprechenden Verschlüsselungsverfahrens) getroffen werden, um etwa zu vermeiden, dass durch Fehler oder kriminelle Energie personenbezogene Daten über das Versicherungsunternehmen hinaus verbreitet werden können.

Jedoch sieht die Bundesregierung nicht nur die Versicherungen in der Pflicht, wenn es um den Einsatz neuer Techniken und Methoden geht, Gesundheitsdaten zu sammeln und auszuwerten. Laut der Antwort geht die Regierung davon aus, dass

Versicherte sich der besonderen Bedeutung ihrer Daten zum persönlichen Lebenswandel und ihrem Gesundheitsverhalten bewusst sind und daher sorgsam und zurückhaltend mit der Weitergabe entsprechender Informationen umgehen.

Datenschutz und Lifestyle-Apps: Europäische Datenschützer fordern Schutz der Gesundheitsdaten

Posted on by

Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.

Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.

Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.

Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.

Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.

Gesetzliche Grundlage der Datenverarbeitung
Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.

Zu beachtende Datenschutzprinzipien
Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.