Verbandsklagerecht bei Datenschutzverstößen: Geplante Änderungen und offene Fragen

Gestern hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Nach der Gesetzesbegründung soll durch eine geplante Neuregelung des § 2 Abs. 2 UKlaG ausdrücklich geregelt werden, dass datenschutzrechtliche Vorschriften, welche die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln, Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 UKlaG sind (neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E). Als Folge können dann anspruchsberechtigte Stellen (§ 3 UKlaG), wie etwa Verbraucherschutzverbände, Unterlassungs- und (ebenfalls neu geplant) Beseitigungsansprüche gegen Unternehmen geltend machen, die gegen Datenschutzvorschriften verstoßen, welche eine Datenverarbeitung zu oben benannten Zwecken regeln.

Zwei wichtige Änderungen
Einen ersten Referentenentwurf des Bundesministeriums für Justiz und Verbraucherschutz hatte ich hier im Blog bereits im Juni 2014 veröffentlicht und umfassend besprochen.

Der nun verabschiedete Entwurf ist vor allem in zwei Punkten angepasst worden:

  • Die datenschutzrechtlichen Vorschriften, gegen die verstoßen werden muss, um anspruchsberechtigten Stellen eine Klagemöglichkeit zu eröffnen, wurden thematisch eingeschränkt. Ob diese Beschränkung ausreicht bzw. wie diese Beschränkung grundsätzlich zu beurteilen ist, kann man noch einmal vertiefter erörtern. Gerade der Begriff „zu vergleichbaren kommerziellen Zwecken“ dürfte aufgrund seiner Unschärfe in der Praxis auf erhebliche Anwendungsschwierigkeiten stoßen.
  • Zudem soll ein neuer § 12a UKlaG-E eingeführt werden, der die Beteiligung der zuständigen Landesdatenschutzbehörden sicherstellen soll. Das Gericht hat nach dem Entwurf vor einer Entscheidung in einem Verfahren über einen Anspruch nach § 2 UKlaG, das eine Zuwiderhandlung gegen ein Verbraucherschutzgesetz nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E zum Gegenstand hat, die zuständige inländische Datenschutzbehörde zu hören.

Konformität mit Europarecht
Ich möchte mich nachfolgend noch kurz einer möglichen Europarechtswidrigkeit des Gesetzesentwurfs widmen. Bereits in meinem Beitrag zu dem ersten Entwurf, habe ich hier Probleme mit der Vereinbarkeit europäischen Rechts gesehen. Die Begründung zum neuen Gesetzesentwurf sieht diesen mit europäischem Recht vereinbar. Insbesondere weißt die Gesetzesbegründung darauf hin, dass mit Blick auf die Datenschutzrichtlinie 95/46/EG der Europäische Gerichtshof zwar grundsätzlich von einer vollständigen Harmonisierung ausgehe. Dies beziehe sich allerdings nur auf das materielle Datenschutzrecht und nicht auf die Rechtsbehelfe und Sanktionen (Kapitel III). Der deutsche Gesetzgeber sieht konkret Kapitel III der Richtlinie 95/46/EG als nicht abschließend an. Die Mitgliedstaaten könnten daneben auch noch weitere Rechtsbehelfe zur Durchsetzung des Datenschutzrechts, insbesondere auch Verbandsklagen vorsehen.

Ob diese Ansicht zutreffend ist, möchte ich zumindest hinterfragen. So hat der Europäische Gerichtshof nämlich gerade mit Blick auf die benannten „Rechte“ und damit auch Rechtsbehelfe (also Instrumente, um diese Rechte durchzusetzen) ausdrücklich entscheiden (Urt. v. 6.11.2003, C-101/01, Rz. 95):

Wie sich insbesondere aus ihrer achten Begründungserwägung ergibt, bezweckt die Richtlinie 95/46, hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten ein gleichwertiges Schutzniveau herzustellen. (Hervorhebung durch mich)

Und weiter geht der EuGH darauf ein, dass Mitgliedstaaten durchaus in bestimmten Bereichen die Möglichkeit besitzen, besondere Regelungen zu schaffen. Jedoch stellt er auch klar (Rz. 97):

Von diesen Möglichkeiten muss aber in der in der Richtlinie 95/46 vorgesehenen Art und Weise und im Einklang mit ihrem Ziel Gebrauch gemacht werden“

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.

Und die Datenschutzrichtlinie sieht eben eine solche Möglichkeit für Mitgliedstaaten nicht vor. Nach Art. 22 Richtlinie 95/46/EG haben Betroffene auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der Richtlinie 95/46/EG aber gerade nicht aufgeführt und die Möglichkeit für Mitgliedstaaten, ein Verbandsklagerecht zu schaffen, ist nicht vorgesehen. Dass eine solche Möglichkeit über die Vorgaben der Richtlinie 95/46/EG hinausgeht, kann man meines Erachtens auch daraus ableiten, dass Art. 28 Abs. 4 Richtlinie 95/46/EG die Verbände ausdrücklich anspricht und ihre Tätigkeit regelt. Danach kann sich jede Person oder ein sie vertretender Verband sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Der Richtliniengeber hat also gerade nur einen Fall der Beteiligung von Verbänden geregelt und zwar jenen, dass diese Betroffene gegenüber einer Behörde vertreten. Nicht jedoch gegenüber einem Gericht.

Fazit
Man wird abwarten müssen, wie der Gesetzentwurf im ordentlichen Gesetzgebungsverfahren noch angepasst wird. Meines Erachtens bestehen jedoch nicht unbegründete Bedenken, dass hier eine Kollision mit europäischen Vorgaben existiert. Vielleicht muss diese Frage am Ende auch der Europäische Gerichtshof selbst entscheiden. Die Thematik an sich wird uns jedoch weiter beschäftigen, da die geplante Datenschutz-Grundverordnung ein Verbandsklagerecht vorsieht.

UK: Google einigt sich mit Aufsichtsbehörde auf Änderungen beim Datenschutz

Am 30. Januar 2015 gab die englische Datenschutzbehörde (ICO) bekannt, dass man sich im Rahmen eines Prüfverfahrens, welches die Verarbeitung von Nutzerdaten bei Google und den Inhalt der Datenschutzerklärung zum Gegenstand hatte, darüber verständigt hat, dass das US-Unternehmen eine Verpflichtungserklärung unterzeichnet und die Behörde im Gegenzug keine Zwangsmaßnahmen durchführt.

Hintergrund des Verfahrens ist eine europaweite und seit Jahren andauernde Überprüfung der Datenschutzerklärung und Verarbeitungstätigkeiten von Google, welche in verschiedenen europäischen Ländern von den jeweils zuständigen nationalen Behörden vorgenommen wurde und teilweise auch noch wird. Zuletzt hatte die niederländische Datenschutzbehörde für Aufsehen gesorgt, nachdem sie im Dezember 2014 ankündigte, gegen Google ein Bußgeld zu verhängen, welches mit fortschreitender Zeit bis zu 15 Million Euro betragen kann (hierzu mein Beitrag).

Die nun in England unterzeichnete Verpflichtungserklärung (PDF) beinhaltet unter anderem folgende Maßnahmen:

  • Google sorgt für eine fortgesetzte Bewertung der Auswirkungen zukünftiger Veränderungen der Datenverarbeitungsprozesse auf die Privatsphäre der Nutzer
  • Wesentliche Änderungen der Datenschutzerklärung sollen von Spezialisten für die Nutzererwartung begutachtet und mit repräsentativen Gruppen von Nutzern getestet werden
  • Auch in Zukunft wird Google proaktiv mit der Aufsichtsbehörde in England zusammenarbeiten und vor wesentlichen Änderungen der Datenverarbeitungsprozesse die Behörde rechtzeitig hierauf hinweisen

Zudem verpflichtet sich Google spezifische Änderungen an der Datenschutzerklärung bis zum 30. Juni 2015 vorzunehmen. Zu diesen Anpassungen gehören unter anderem:

  •  Google wird die Erreichbarkeit der Datenschutzhinweise verbessern
  • Google wird die Informationen über die Datenverarbeitung in der Datenschutzerklärung verbessern und deutlicher über die Zwecke der Verarbeitung und die Arten der Daten informieren
  • Google wird den Nutzern Informationen dazu bereitstellen, wie sie ihre gesetzlichen Rechte ausüben können
  • Zudem wird Google zwei Abschnitte der Nutzungsbedingungen (unter anderem jenen zur Verarbeitung von Daten im Rahmen des E-Mail-Dienstes) in die Datenschutzerklärung integrieren
  • Auch wird Google die gesamte Datenschutzerklärung mit Blick auf unscharfe und unbestimmte Begriffe und Informationen überarbeiten
  • Google wird eine überarbeitete Version der Account-Einstellungen entwickeln, welche es den Nutzern ermöglichen verschiedene Kontrollmöglichkeiten zu den Diensten auszuüben

Die Verpflichtungserklärung und die dort enthaltenen Vorgaben gelten nur für die englische Version der Datenschutzerklärung von Google.

Auch die Versammlung der europäischen Datenschützer, die sog. Art. 29 Gruppe, hatte im letzten Jahr Vorschläge veröffentlicht, wie Google seine Datenschutzerklärungen ihrer Ansicht nach verbessern könne (hierzu mein Beitrag). Die Verpflichtungserklärung aus England kopiert einige der dort entwickelten „Hausaufgaben“. In Deutschland läuft in diesem Zusammenhang derzeit ein durch den Hamburgischen Beauftragten für Datenschutz angestrengtes Verwaltungsverfahren gegen Google.

Datenschutzreform: Deutschland möchte Beschäftigtendatenschutz national regeln

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, KOM (2012)11, PDF) gehen auch im Jahr 2015 weiter. Ziel der Verordnung stellt die Vereinheitlichung des europäischen Datenschutzrechts dar, wobei die DS-GVO anders als derzeit die Datenschutz-Richtlinie, zwingende, durch die Mitgliedstaaten nicht mehr in nationales Recht umzusetzende, Vorgaben machen würde.

Doch ob es am Ende tatsächlich bei solch durchgehenden und für die Mitgliedstaaten zwingeden Vorschriften in der DS-GVO bleibt, kann immer mehr bezweifelt werden. So zeigt sich in den Verhandlungen im Rat der Europäischen Union, dass große Sympathie dafür besteht, gerade im Bereich der öffentlichen Verwaltung sog. Öffnungsklauseln in die DS-GVO einzubauen, die den Mitgliedstaaten eine eigene nationale Ausgestaltungen der Regelungen zur Datenverarbeitung in bestimmten Themenfeldern, z. B. Steuern oder Sozialversicherungen, ermöglichen sollen.

Beschäftigtendatenschutz
Ein Dokument (PDF) aus dem November 2014 zeigt nun, dass Deutschland diese Möglichkeit von abweichenden nationalen Regelungen jedoch nicht nur für den öffentlichen Bereich favorisiert. Auch der Beschäftigtendatenschutz und der Umgang mit Arbeitnehmerdaten soll in den einzelnen EU-Mitgliedstaaten selbstständig geregelt werden können, solange solche Regelungen noch dem grundsätzlichen Schutzniveau der DS-GVO entsprechen bzw. darüber hinausgehen.

Tarifverträge
Für die deutsche Delegation von besonderer Bedeutung ist dabei, dass auch zukünftig Tarifverträge und Betriebsvereinbarungen als Grundlagen für Datenverarbeitungen innerhalb eines Unternehmens anerkannt werden. Unter dem geltenden deutschen Datenschutzrecht ist dies bereits der Fall. Derzeit lasse sich, so die deutschen Delegation, aus dem Entwurf der DS-GVO jedoch in keinster Weise ableiten, ob ein Tarifvertrag oder eine Betriebsvereinbarung auch in Zukunft als Grundlage einer Datenverarbeitung dienen können. Die EU-Kommission habe diesbezüglich zwar auf Art. 6 Abs. 1 c) DS-GVO (Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung) verwiesen. Dieser Schluss ist für die deutsche Delegation jedoch nicht zwingend und weder aus dem Text der DS-GVO selbst, noch aus den Erwägungsgründen abzuleiten.

Einwilligung
Auch die Besonderheiten einer datenschutzrechtlichen Einwilligung des Arbeitnehmers in seinem Beschäftigungsverhältnis sollen stärker Berücksichtigung finden. Dazu schlägt die deutsche Delegation vor, dass in Zukunft das jeweilige nationale Datenschutzrecht die Anfroderungen festlegen kann, nach denen eine datenschutzrechtliche Einwilligung im Arbeitsverhältnis erteilt werden kann. Problematisch an derartigen Einwilligungen ist häufig ihre Wirksamkeit, da man an dem Erfordernis der „Freiwilligkeit“ einer solchen Willensbekundung im Zusammenhang mit einem Beschäftigungsverhältnis zweifeln kann.

Sollten sich solche Vorschläge im Ergebnis durchsetzen, wird man sich natürlich die Frage stellen müssen, inwiefern die angedachte europaweite Vereinheitlichung des Datenschutzrechts mit der DS-GVO noch erzielt werden kann. Denn viele nationale Spezialregelungen würden freileich dazu führen, dass man, trotz einer allgemeinen gemeinsamen und verbindlichen Grundlage, in der Praxis doch wieder verschiedene Vorgaben im Umgang mit personenbezogenen Daten innerhalb Europas zu beachten hätte.

Eine aktuelle Liste an den Verhandlungsdokumenten des Rates zur Datenschutz-Grundverordnung findet man hier im Blog.

Datenschutz-Deutschland: Geprägt von Uneinigkeit

Die Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg, dass Datenschutzverstöße von Kommunen im Rahmen des Einsatzes des Analysetools Google Analytics nach Überprüfungen abgestellt wurden, hat mich stutzig gemacht. Anhand dieses Beispiels „Google Analytics“ kann man jedoch erkennen, mit welchen tatsächlichen Schwierigkeiten sowohl Unternehmen als auch Behörden derzeit bei der Beachtung der gesetzlichen Vorgaben zum Datenschutz umgehen müssen, wenn sie weder völlig auf neue Technologien verzichten möchten, noch gesetzliche Standards völlig unbeachtet lassen wollen.

Einheitliche Position der Behörden
Für den privaten Bereich hatten sich alle deutschen Landesdatenschutzbehörden auf ein einheitliches Vorgehen in Sachen „Google Analytics“ verständigt. Unter Federführung des Hamburger Datenschützers wurde ein Verfahren mit Google abgestimmt, welches den (nach Ansicht der Behörden) datenschutzrechtskonformen Einsatz des Tools ermöglicht. Ein solches Ergebnis ist aus Sicht der Praxis und in diesem Fall der privatwirtschaftlichen Betreiber von Webseiten absolut zu begrüßen. Denn es wäre kaum verständlich und vermittelbar, warum etwa ein Unternehmen in Bayern Google Analytics nutzen dürfte und z. B. ein Unternehmen in Hessen nicht. Daneben könnten sich aus einer solchen Situation auch wirtschaftliche Nach- bzw. Vorteile für die Unternehmen ergeben, je nachdem in welchem Bundesland sie sitzen und welche Landesbehörde zuständig ist.

Aber: der öffentliche Bereich
Die angesprochene Mitteilung der Landesdatenschutzbeauftragten aus Brandenburg betrifft nun aber öffentliche Stellen. Hier gelten (teilweise) andere Datenschutzgesetze als im privatwirtschaftlichen Bereich. Einige sind aber auch gleich, gerade was die hier in Rede stehenden Voraussetzungen des § 15 Abs. 3 TMG betrifft (vgl. etwa 16. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, S. 122, PDF). Nach Aussage in der Pressemitteilung der Landesdatenschutzbeauftragten in Brandenburg schließt der „Einsatz von Google Analytics durch öffentliche Stellen in Brandenburg“ die Möglichkeit des datenschutzgerechten Betriebes von Internetangeboten aus. Man geht also von der absoluten Unzulässigkeit aus.

Doch warum soll hier etwas anderes gelten, als im privaten Bereich? Können öffentliche Stellen nicht auf die durch die Datenschutzbehörden mit Google ausgehandelten Kriterien zurückgreifen? Auch der Landesdatenschützer in Hessen geht von der Unzulässigkeit des Einsatzes von Google Analytics durch öffentliche Stellen aus. Grund hierfür ist oft, dass im öffentlichen Datenschutzrecht spezielle Anforderungen an die Auftragsdatenverarbeitung gestellt werden, die Google nicht erfüllen kann. Auf der anderen Seite ging bereits im Jahre 2010 der Bayerischen Landesbeauftragten für den Datenschutz davon aus, dass Google Analytics auch durch Behörden grundsätzlich rechtskonform eingesetzt werden kann. In einer Pressemitteilung, die im Rahmen der Prüfung bayerischer Behörden entstand, führt er aus:

Bei der Anfang November durchgeführten Nachprüfung hat sich gezeigt, dass nunmehr nur noch 159 bayerische Behörden Google Analytics einsetzen. 25 dieser Behörden tun dies in Verbindung mit einer Anonymisierungsfunktion, eine datenschutzkonforme Vorgehensweise ist danach zumindest möglich. (Hervorhebung durch mich).

Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass für öffentliche Stellen in Hamburg andere rechtliche Voraussetzungen und zusätzliche Anforderungen gelten, die einen Einsatz von Google Analytics oder anderer Tracking-Dienste nur eingeschränkt ermöglichen (PDF). Ausgeschlossen ist der Einsatz danach aber nicht, wie sich etwa am Beispiel der Webseite des Hamburger Senats zeigt, auf der Google Analytics zum Einsatz kommt.

Quintessenz
Was möchte ich mit diesen Feststellungen sagen? Offensichtlich ist man sich bezüglich der Voraussetzungen des Einsatzes von Google Analytics in den Datenschutzbehörden in Deutschland uneins, was jedoch leider für den praktischen Umgang mit den Datenschutzgesetzen ein erhebliches und Rechtsunsicherheit schaffendes Problem darstellen kann. Gerade wenn solche landesspezifischen Abweichungen im Bereich der Durchsetzung des Datenschutzrechts in der Privatwirtschaft entstehen. Nach dem Motto: „Warum dürfen die Bayern das und wir nicht?“. Im konkreten Fall betrifft es beispielhaft das Thema „Google Analytics“ und den öffentlichen Bereich. Doch abweichende Rechtsanschauungen und damit einhergehend eine abweichende Rechtsdurchsetzung (immerhin mit der Möglichkeit Bußgelder zu verhängen), treten ebenso im privatwirtschaftlichen Bereich zu Tage. Man muss daher im Interesse aller Beteiligten hoffen, dass ein einheitliches Vorgehen der Aufsichtsbehörden in Zukunft, ja wenn nicht sogar eine gesetzliche Pflicht (man denke an die Vorgaben der Datenschutz-Grundverordnung zum sog. „one-stop-shop“) zum kohärenten Vollzug der Datenschutzgesetze, die Regel sein wird.

Bundesregierung: Geltende Datenschutzvorgaben für Werbung & Marketing sind ausreichend

Die Bundesregierung hat mit Datum vom 6. Januar 2015 einen Bericht „über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes (BSDG) im Rahmen der zweiten BDSG-Novelle“ veröffentlicht (PDF) (BT-Drs. 18/3707).

Novellierung des BDSG
Die §§ 28 und 29 BDSG wurden in der Novelle des Jahres 2009, vor allem mit Blick auf die Neureglung des Datenumgangs im Adresshandel und bei Werbung, angepasst und nach § 48 BDSG hat die Bundesregierung den Auftrag, bis zum 31. Dezember 2014 über die Auswirkungen der Gesetzesänderungen zu unterrichten. Der nun vorliegende Bericht gibt zum einen Überblick darüber, wie aus Sicht der Aufsichtsbehörden die Vorgaben der §§ 28 und 29 BDSG eingehalten werden und wo diese noch Defizite sehen. Auch wird auf Stellungnahmen aus der Wirtschaft eingegangen.

Häufigste Verstöße
Laut den Angaben der deutschen Datenschutzbehörden finden die meisten Verstöße gegen das Datenschutzrecht (bzw. teilweise auch die Vorgaben des § 7 UWG) aufgrund folgender Konstellationen statt:

Interessant ist vor allem das durch die Bundesregierung gezogene Fazit in dem Bericht. Danach wurde das Ziel der zweiten BDSG-Novelle grundsätzlich erreicht. Die strukturellen Veränderungen im Rahmen der Novelle haben, so die Bundesregierung

den Anfall von Daten gesenkt, ihren Schutz, soweit sie anfallen, gesteigert und die Transparenz für die Betroffenen sowie ihre Widerrufsrechte gestärkt.

Zwar verneint die Bundesregierung nicht, dass es auch noch Probleme bei der Einhaltung der Vorgaben der §§ 28, 29 BDSG in der Praxis gebe. Diese Probleme beziehen sich jedoch vor allem auf Rechtsverstöße. Man könnte also auch sagen, dass eine Gesetzesänderung nicht daran ändert wird, dass auch in Zukunft gegen gesetzliche Vorgaben verstoßen werde. Daher schlägt auch die Bundesregierung vor, dass diese noch bestehenden Probleme vor allem durch stärkere Kontrollen und Sanktionierungen der Aufsichtsbehörden verringert werden sollen. „Legislative Abhilfemöglichkeiten“ sieht die Bundesregierung als wenig zielführend an.

Auch geht der Bericht auf die Auswirkungen der geplanten europäischen Datenschutz-Grundverordnung ein. Die klare Aussage der Bundesregierung:

Unabhängig von seinem Inhalt wird dieser EU-Rechtsakt erhebliche Auswirkungen auf das nationale Datenschutzrecht haben.

Fazit
Datenschutzrecht und Werbung schließen sich sicherlich nicht aus. Dennoch gilt es gerade in diesem Bereich besonderen Wert auf die Einhaltung der gesetzlichen Anforderungen zu legen. Die bayerische Datenschutzbehörde hatte erst im November 2014 angekündigt, dass sie in Zukunft wird das BayLDA ihre eher zurückhaltende Praxis bei der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren werde. Erste Hinweise und Hilfestellungen zum Thema „Werbung und Datenschutz“ lassen sich etwa den „Anwendungshinweisen der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke“ (PDF) entnehmen.

USA: Obama kündigt neue Gesetze zur IT-Sicherheit und zum Datenschutz an

Im Rahmen eines Besuchs bei der amerikanischen Federal Trade Commission (FTC), hat Präsident Obama mehrere Initiativen angekündigt, um zukünftig sowohl die IT-Sicherheit bei Unternehmen und Behörden zu erhöhen als auch den Schutz personenbezogener Daten in den USA zu stärken.

Zu den vorgeschlagenen Initiativen und Maßnahmen hat das Weiße Haus ein übersichtliches „Fact Sheet“ veröffentlicht.

Datensicherheit
So beinhaltet das Maßnahmenpaket unter anderem den Gesetzesvorschlag für den „Personal Data Notification & Protection Act“. Dieser Vorschlag hat vor allem die Datensicherheit und ganz konkret Sicherheitsverletzungen im Auge. Mit dem Gesetz sollen die Pflichten von Unternehmen im Fall der Verlustes oder widerrechtlichen Zugriffs auf Daten klarer gefasst werden. Kunden sollen danach innerhalb von 30 Tagen benachrichtigt werden, wenn es zu einer Sicherheitsverletzung kommt. Auf der anderen Seite sollen die Neureglungen einen einheitlichen, nationalen Standard und damit eine Erleichterung in der täglichen Praxis für Unternehmen darstellen.

Datenschutz bei Schülern
Anders als in Europa wird in den USA der Datenschutz sektoral geregelt. Es gibt also spezielle Gesetze, welche den Umgang mit personenbezogenen Daten in einer besonderen Situation oder etwa in einem Wirtschaftszweig regeln. Präsident Obama kündigt den Entwurf für ein neues Gesetz an, welches den Schutz von personenbezogenen Daten sicherstellen soll, die im Zusammenhang mit dem Unterricht an Schulen und Bildungseinrichtungen erhoben wurden. Der „Student Digital Privacy Act“. Danach soll es Unternehmen verboten werden, personenbezogene Daten von Schülern oder Studenten an Dritte zu anderen Zweck zu verkaufen, die nicht mit dem Bildungsauftrag im Zusammenhang stehen. Auch personalisierte Werbung auf der Grundlage der im Zusammenhang mit der Ausbildung und dem Unterricht erhobenen Daten soll ausgeschlossen werden. Dennoch soll eine Datenverarbeitung für wichtige Forschungsinitiativen, etwa um die Lernergebnisse zu verbessern, möglich sein. Auch die Anstrengungen von Unternehmen zur kontinuierlichen Verbesserung der Wirksamkeit technischer Lernmittel und hiermit im Zusammenhang stehende Datenverarbeitungen sollen nicht behindert werden.

Verbraucherschutz im Internet
Daneben möchte Präsident Obama wichtige Grundprinzipien bei dem Umgang mit personenbezogenen Daten von Nutzern im Internet gesetzlich festschreiben. Hierzu soll auf der bereits im Jahr 2012 vorgestellten „Consumer Privacy Bill of Rights“ (PDF) aufgebaut werden. Zu den Grundprinzipien der Datenverarbeitung gehören nach diesem Gesetzesvorschlag u. a. die individuelle Kontrolle über personenbezogene Daten, die Transparenz in Bezug auf die Erhobenen Daten und deren Verwendung sowie eine Zweckbestimmung der Datenverarbeitung, dass also Daten nicht für gänzlich andere bzw. mit dem Erhebungszweck unvereinbare Zwecke genutzt werden. Diese Prinzipien sind den Europäern aus der geltenden Datenschutzrichtlinie und den nationalen Gesetzen bereits bekannt. Nach einer Phase der öffentlichen Konsultation zu einem überarbeiteten Gesetzesentwurf soll dieser neue Gesetzestext in den USA nun innerhalb von 45 Tagen vorgestellt werden.

Bundesverwaltungsgericht: Urteil zur Zulässigkeit des KFZ-Kennzeichen-Scannings im Volltext

Das Urteil des Bundesverwaltungsgerichts (BVerwG) vom 22.10.2014 (Az. 6 C 7.13), wonach ein Eingriff in das Recht auf informationelle Selbstbestimmung beim automatisierten Scannen von KFZ-Kennzeichen durch die Polizei nicht vorliegt, wenn die Anonymität des Inhabers nicht aufgehoben wird, ist nun im Volltext (PDF) verfügbar. Gegen das Urteil wurde Verfassungsbeschwerde eingelegt (Meldung bei heise online), so dass sich in einem nächsten Schritt das Bundesverfassungsgericht (BVerfG) mit der Frage des Datenschutzes beim Kennzeichen-Scannen befassen wird. Dies im Übrigen nicht zum ersten Mal. Im Jahre 2008 erklärte das BVerfG zwei landesgesetzliche Bestimmungen aus Schleswig-Holstein und Hessen für nichtig (Urteil v. 11.3.2008, Az. 1 BvR 2074/05, 1 BvR 1254/07).

Einige Anmerkungen zu dem nun veröffentlichten Urteil des BVerwG.

Die Szenarien
In dem Urteil wird zunächst gut verständlich dargestellt, um welche Situationen des Scannens von KZF-Kennzeichen es in dem zu entscheidenden Fall überhaupt ging. Das Gericht unterscheidet im Prinzip drei Szenarien:

1) Ergibt sich beim Datenabgleich mit Fahndungsdateien kein Treffer auf dem jeweiligen Rechner, wird das aufgenommene Kennzeichen nach dem Abgleich automatisch aus dem Arbeitsspeicher des Rechners gelöscht.

2) Im Fall einer vom System festgestellten Übereinstimmung zwischen dem erfassten Kennzeichen und den Fahndungsdateien wird der Treffer temporär in der Datenbank auf dem Rechner gespeichert und entweder gleichzeitig über eine Datenleitung an den Zentralrechner der Einsatzzentrale des jeweils zuständigen Polizeipräsidiums übermittelt oder auf dem mobilen Rechner (Notebook) vor Ort am Bildschirm aufgezeigt. Es erfolgt dann jeweils durch die zuständigen Polizeibeamten eine visuelle Kontrolle. Erweist sich der Treffer (mangels Übereinstimmung) als Fehlermeldung, gibt der Beamte auf dem Rechner den Befehl, den gesamten Vorgang zu entfernen.

3) Im Trefferfall startet der Polizeibeamte eine manuelle Abfrage bei der betreffenden Fahndungsdatei, speichert dann den Vorgang bzw. die Daten und veranlasst gegebenenfalls weitere polizeiliche Maßnahmen.

Personenbezug eines KFZ-Kennzeichens?
Das BVerwG geht relativ pauschal davon aus, dass es sich bei einem KFZ-Kennzeichen um ein personenbezogenes Datum handelt. Laut dem Gericht ist dies

als personenbezogenes Datum in den Schutzbereich des Grundrechts auf informationelle Selbstbestimmung einbezogen. Zwar offenbart die Buchstaben-Zahlen-Kombination, aus der es besteht, aus sich heraus noch nicht diejenige Person, der das Kennzeichen als Halter zu zuordnen ist. Diese Person ist jedoch durch Abfragen aus dem Fahrzeugregister (vgl. §§ 31 ff. StVG) bestimmbar.

Leider lässt sich dieser Aussage nicht genau entnehmen, welcher Auffassung das BVerwG in Bezug auf den in der juristischen Lehre und Praxis geführten Streit bei der Auslegung des Wortes „bestimmbar“ zuneigt. Einige Stimmen vertreten die absolute Perspektive bei der Auslegung der „Bestimmbarkeit“. Es würde danach für einen Personenbezug ausreichen, wenn irgendeine beliebige Stelle auf der Welt die Zuordnung der betreffenden Information zu einer natürlichen Person herstellen könnte. Es wäre unerheblich, wer genau diese Zuordnung vornehmen kann und ob die in Rede stehende Stelle die Mittel hierfür besitzt. Auf der anderen Seite wird ein relativer Ansatz vertreten. Danach muss man stets auf die tatsächlich verantwortliche Stelle und die ihr rechtmäßig zur Verfügung stehenden und vernünftigerweise einzusetzenden Mittel abstellen.

Der Aussage des BVerwG nach könnte man zunächst davon ausgehen, dass das Gericht den absoluten Ansatz vertritt. Diese Mutmaßung wird jedoch entkräftet, wenn das Gericht am Ende seines Urteils bereits einen Eingriff (!; nicht etwa erst eine Verletzung) in das Recht auf informationelle Selbstbestimmung ablehnt, wenn der Polizeibeamte in Szenario 2 lediglich kurzzeitig die Buchstaben-Zahlen-Kombination (also das Kennzeichen) wahrnimmt, jedoch

seinerseits nicht über die rechtliche Befugnis verfügt – und auch der Sache nach keinen Anlass hätte -, eine Abfrage aus dem Fahrzeugregister vorzunehmen. Die Anonymität des Inhabers bleibt folglich gewahrt.

Dem Beamten ist es in diesem Fall gerade nicht möglich, den Personenbezug herzustellen. Er dürfte es auch nicht. Eine solche Auslegung und die Ablehnung eines Eingriffs in den Schutzbereich des Rechts auf informationelle Selbstbestimmung würden eher für den relativen Ansatz sprechen.

Keine belanglosen Daten
Eindeutig ist das BVerwG in Bezug auf die Definition des Schutzumfangs des Rechts auf informationelle Selbstbestimmung, wobei es hier auch auf das BVerfG verweist. Nach dem Gericht gibt es

unter den Bedingungen der elektronischen Datenverarbeitung kein schlechthin, also ungeachtet des Verwendungskontextes, belangloses personenbezogenes Datum mehr.

Kein Eingriff in Szenarien 1 und 2
In den oben beschriebenen Szenarien 1 und 2 verneint das BVerwG die Eingriffsqualität des Scannens und Abgleichens der Kennzeichen. In Szenario 2 wird nach dem Urteil zwar das erfasste Kennzeichen durch den Polizeibeamten zur Kenntnis genommen. Der Polizeibeamte beschränkt sich jedoch auf die Vornahme dieses Abgleichs und löscht den Vorgang umgehend, wenn der Abgleich negativ ausfällt.

Nur in Szenario 3 erkennt das BVerwG die Eingriffsqualität an. Bei einem „echten Treffer“ werde die Eingriffsschwelle überschritten. Denn durch die vorgesehene manuelle Abfrage aus der Fahndungsdatei werde die Identität des Kennzeicheninhabers gelüftet. Vorliegend konnte es in der Person des Klägers jedoch nicht zu so einem echten Treffer kommen, denn sein KFZ-Kennzeichen war nicht im Fahndungsbestand gespeichert. Nach dem BVerwG muss die bloße Eventualität, es könnte zukünftig zu einer solchen Speicherung kommen, jedoch außer Betracht bleiben.

NRW-Justizminister fordert „Recht auf digitalen Neustart“ für Jugendliche

Der Justizminister des Landes Nordrhein-Westfalen, Thomas Kutschaty, möchte sich laut dem Spiegel für eine Bundesratsinitiative einsetzen, um Internetnutzern die gesetzlich verankerte Möglichkeit zu geben, Suchmaschinenbetreibern in bestimmten Fällen die Löschung von Daten abzuverlangen. Im Blick hat Kutschaty bei seinem Vorschlag vor allem Jugendliche. Seiner Ansicht nach machten sich nämlich zu wenige von ihnen Gedanken über das, was sie ins Internet stellen. Jahre später könnte es dann zu Problemen, etwa bei Bewerbungen kommen.

Recht auf Vergessenwerden?
Der Vorschlag des Ministers (und gerade der Verweis auf Suchmaschinen) klingt nach dem Wunsch einer gesetzlichen Verankerung des sog. Rechts auf Vergessenwerden, wie es der Europäische Gerichtshof (EuGH) im Mai 2014 in seinem Google-Urteil aus der geltenden EU-Datenschutzrichtlinie entwickelte. Da jedoch das Recht von Betroffenen, Verweise auf Internetseiten unter bestimmten Voraussetzungen aus den Suchergebnislisten löschen zu lassen, nach dem EuGH bereits derzeit gesetzlich verankert (bzw. aus den Vorgaben der EU-Datenschutzrichtlinie mindestens ableitbar) ist, muss man sich fragen, welche gesetzlichen Neuregelungen der Justizminister konkret anstrebt? Denn diese wären ja eigentlich nicht erforderlich, sollte es sich allein um das Löschen (oder anders: Unterdrücken) von Links in Ergebnislisten handeln.

Bestehende Vorgaben
Die Intention scheint mehr in die Richtung des allgemeinen Schutzes von Jugendlichen und Kindern im Internet zu gehen und ihnen die Möglichkeit zu geben, dass sich ihre digitale Vergangenheit auf Knopfdruck in Luft auflösen lässt. Dies würde auch zu dem Begriff „digitaler Neustart“ passen. Insofern stellt sich dann jedoch die Frage, welche gesetzlichen Voraussetzungen erfüllt sein müssten, um Bilder, Informationen und Texte, die man als Jugendlicher veröffentlicht hat, zu löschen?

Soll es sich etwa nur um personenbezogene Daten handeln? Hier gilt bereits das Datenschutzrecht, welches nicht nach Erwachsenen und Kindern unterscheidet. Die geltenden Gesetze stellen zum einen gewisse Voraussetzungen an die Verarbeitung personenbezogener Daten an sich, wenn also etwa ein Internetdienst die Daten eines Jugendlichen eigenverantwortlich verwendet. Zudem sehen die Gesetze Löschpflichten für verantwortliche Stellen vor, die nicht nur von dem Ablauf einer gewissen Zeit, sondern auch der Unvereinbarkeit der weiteren Verwendung der Daten mit den Interessen des Jugendlichen abhängen können. Wozu also neue Regelungen?

Digitale Generalamnestie?
Eventuell steckt hinter dem Vorschlag daher eher der Gedanke einer „digitalen Generalamnestie“. Nach dem Motto: bis zum 18. Lebensjahr dürfen sich Jugendlichen im Netz austoben und ihre Jugendsünden dann auch löschen lassen. Ein solcher Vorschlag birgt jedoch meines Erachtens einige Risiken (etwa kollidierende Grundrechte Dritter) und ist natürlich gleichzeitig auch eine Art Schuldeingeständnis, nämlich dass man als Staat noch nicht die (richtigen) Mittel und Wege gefunden hat, um Kinder und Jugendliche auf die unbestreitbar bestehenden Risiken beim Umgang mit dem Internet vorzubereiten und sie aufzuklären.

Beispielhaft sei auf die USA und dort auf ein am 1.1.2015 in Kalifornien in Kraft getretenes Gesetz (Privacy Rights for California Minors in the Digital World) verwiesen. Dieses Gesetz sieht in seinem Abschnitt 22581 nämlich in der Tat eine Art „digitalen Neustart“ für Kinder im Internet (darüber hinausgehend aber etwa auch für Anbieter von Apps) vor. Die Möglichkeit für Jugendliche, bei einem Dienst oder Anbieter eingegeben Informationen (es muss sich nicht um personenbezogene Daten handeln) zu löschen bzw. löschen zu lassen, wird dort jedoch nicht pauschal gewährt, sondern enthält bestimmte Einschränkungen. So etwa eine Speicherpflicht des Anbieters aufgrund anderer Gesetze oder wenn die Informationen anonymisiert werden.

Fazit
Die Beweggründe des Justizministers sind jedoch vielleicht auch noch von einer anderen Natur. Laut dem Spiegel hält es Herr Kutschaty „für problematisch, wenn es keine gesetzliche Regelung gibt und wir uns in Fragen von Persönlichkeitsrechten auf ein Entgegenkommen von Google verlassen müssen“. Den Minister scheint also gerade die mangelnde Durchsetzung der (meines Erachtens bereits bestehenden) gesetzlichen Regelungen bzw. die tatsächlichen Probleme bei der Durchsetzbarkeit (mangelndes Personal und fehlende finanzielle Mittel in den zuständigen Behörden) zu treiben. Dazu bedarf es aber nicht noch eines „neuen“ Rechts, welches dann auch nicht durchsetzbar ist und am Ende einen reinen Placeboeffekt hervorruft.

Bis zu 15 Mio. Euro: Niederländische Datenschutzbehörde verhängt Zwangsgeld gegen Google

Die niederländische Datenschutzbehörde (CBP) gab gestern bekannt, dass sie im Zuge behördlicher Anordnungen gegenüber Google ein Zwangsgeld verhängt habe, dessen Höhe bis zu einem Betrag von 15 Mio. Euro steigen kann.

Nach Angaben der Behörde bietet Google seine Dienste in den Niederlanden unter Verstoß gegen das nationale Datenschutzrecht an. Im November 2013 hat die CBP ein umfassendes Gutachten (PDF, Englisch) veröffentlicht, in dem die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch die Dienste von Google untersucht wird. Auf der Grundlage der Ergebnisse dieses Gutachtens geht die Behörde nun gegen das amerikanische Unternehmen vor.

Die CBP fordert Google insbesondere zu drei umzusetzenden Maßnahmen auf:

  • Das Unternehmen muss die Einwilligung seiner Nutzer einholen, wenn es personenbezogene Daten aus verschiedenen Diensten kombiniert. Die Einwilligung müsse „ohne jeden Zweifel“ erfolgen, was derzeit nicht sichergestellt sei. So stört sich die Behörde insbesondere daran, dass Google Informationen zu dieser Verknüpfung von Daten in seinen Nutzungsbedingungen und der Datenschutzerklärung bereitstelle, was jedoch nicht ausreichend sei.
  • Zudem müssten die Informationen in den Datenschutzerklärungen darüber, wie verschiedene Dienste von Google personenbezogene Daten nutzen, deutlicher und umfassender bereitgestellt werden.
  • Auch solle Google deutlich machen, dass es sich bei YouTube um einen Dienst von Google handelt. In den Niederlanden habe Google hinsichtlich dieser letzten Forderungen bereits Maßnahmen ergriffen.

Das Vorgehen der CBP steht im Zusammenhang mit einer europaweit angelegten Prüfung der Datenschutzbestimmungen und Datenverarbeitung durch Google, die seit 2012 durch die französische Datenschutzbehörde koordiniert und im Rahmen der sog. Art. 29 Datenschutzgruppe durchgeführt wird. In mehreren Ländern haben Datenschutzbehörden bereits verwaltungsrechtliche Verfahren gegen Google eröffnet. So etwa die spanische Datenschutzbehörde (mein Beitrag) als auch die französische Aufsichtsbehörde (mein Beitrag). In Deutschland hat der Hamburgische Datenschutzbeauftragte im September 2014 eine Anordnung gegen das Unternehmen erlassen.

Erst jüngst hat die Art. 29 Datenschutzgruppe im Zusammenhang mit diesen Verfahren auch eine Stellungnahme veröffentlicht, wie aus ihrer Sicht die Datenschutzerklärung von Google angepasst werden könnte, um den datenschutzrechtlichen Ansprüchen in Europe zu genügen. Man könnte auch von einem „Hausaufagbenheft“ für Google sprechen (mein Beitrag dazu).

In den Niederlanden hat Google nun bis Februar 2015 Zeit, um die Forderungen der CBP umzusetzen. Sollte das Unternehmen dem nicht nachkommen, so kündigt die Behörde bereits an, dass ein Zwangsgeld bis zu einer Höhe von 15 Mio. Euro verhängt werden könnte.

Datenschutzreform: Deutschland will Einwilligungen der AGB-Kontrolle unterwerfen

Die deutsche Delegation im Rat der Europäischen Union möchte datenschutzrechtliche Einwilligungserklärungen unter der zukünftigen Datenschutz-Grundverordnung (DS-GVO) zwingend den Anforderungen des AGB-Rechts unterwerfen. Ein entsprechender Änderungsvorschlag vom 3. November 2014 (PDF) wurde der zuständigen Ratsarbeitsgruppe (Dapix) zugeleitet.

Nach der Begründung des Dokumentes werden Betroffene häufig mit Einwilligungserklärungen konfrontiert, die Bestandteil von langen und komplexen vorformulierten Vertrags- oder Nutzungsbedingungen sind, die der für die Verarbeitung Verantwortliche für eine Vielzahl von Fällen stellt und auf deren Inhalt der Betroffene keinen Einfluss nehmen kann. Um Verbraucher in solchen Fällen zu schützen, sieht das geltende AGB-Recht das Verbot von missbräuchlichen Klauseln in Verbraucherverträgen vor.

In Anlehnung an dieses verbraucherschutzrechtliche Instrument, möchte die deutsche Delegation derartige Schutzmechanismen nun auch in der DS-GVO verankern (Art. 7 Abs. 2 a). Laut dem Dokument soll

die Möglichkeit einer objektivierten Inhaltskontrolle von vorformulierten Einwilligungserklärungen

vorgeschlagen werden. Die so in das Datenschutzrecht neu einzuführende

Inhaltskontrolle ermöglicht insbesondere eine objektivierte Kontrolle, ob der Inhalt der Einwilligungserklärung alle Transparenzanforderungen erfüllt.

Auch eine unangemessene Benachteiligung (bekannt aus § 307 Abs. 2 BGB) von Betroffenen durch Einwilligungserklärungen, will die deutsche Delegation unterbinden. Daher sieht der Vorschlag eine Definition von Situationen in der DS-GVO vor, in denen eine unangemessen Benachteiligung des Betroffenen im Zweifel vorliegen und die Einwilligungserklärung unwirksam sein soll (Art. 7 Abs. 2 b).

Die von der deutschen Delegation unterbreitet Vorschläge sind eigentlich nur aus dem geltenden AGB-Recht, also vor allem bei der Prüfung von zivilrechtlichen Verbraucherverträgen, bekannt. Zwar wenden deutsche Gericht die Vorgaben der §§ 305 ff. BGB häufig auch auf Datenschutzerklärungen und dort enthaltene Einwilligungen an. Es ist jedoch nicht unumstritten, ob die jedem bekannten Datenschutzerklärungen (also Informationen zum Umgang mit personenbezogenen Daten) tatsächlich Verträge darstellen, welche einer AGB-Kontrolle zugänglich sind. Die deutsche Delegation beabsichtigt nun ein neues datenschutzrechtliches, quasi „AGB-Prüfungsregime“, fokussiert auf Einwilligungserklärungen, in die geplante DS-GVO einzuführen. Damit soll das zukünftige Datenschutzrecht, zumindest im Bereich der Einwilligungserklärungen, wohl auch dem Verbraucherschutzrecht und den dort bekannten Schutzmeachnismen angenähert werden. Auch erwähnt der Vorschlag, dass ein Vorgehen gegen intransparente oder den Betroffenen unangemessen benachteiligende Einwilligungserklärungen über ein Verbandsklagerecht (also etwa für Verbraucherschutzverbände) möglich sein soll.