Gesetzentwurf zum automatisierten Fahren – Datenschutzrechtlich mangelhaft

Am 27. Januar 2017 hat das Bundeskabinett einen Gesetzesentwurf zur Anpassung des Straßenverkehrsgesetzes (StVG) beschlossen, um Regelungen für hoch- oder vollautomatisierte Fahrsysteme in KfZ zu schaffen. Zu dem Gesetzentwurf (PDF) habe ich hier einen kurzen allgemeinen Überblick gegeben.

Nachfolgend möchte ich mich etwas spezieller mit den datenschutzrechtlichen Implikationen des Vorschlags, dem neuen § 63a StVG-E, befassen. Um es vorwegzunehmen: meines Erachtens bietet der Entwurf eine datenschutzrechtliche Angriffspunkte.

Auch auf die Gefahr hin, zu pedantisch zu erscheinen, sollte man überlegen, die neue Überschrift „Abschnitt VIa Datenverarbeitung im Kraftfahrzeug“ anzupassen. Denn im nachfolgenden § 63a StVG-E geht es gerade nicht nur um Datenverarbeitungen im Kfz, sondern auch um den Umgang mit den Daten aus dem Speicher des Fahrzeugs durch Dritte.

 § 63a Datenverarbeitung bei Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion

(1) Kraftfahrzeuge mit hoch- oder vollautomatisierter Fahrfunktion gemäß § 1a zeichnen nach dem Stand der Technik entsprechend der internationalen Vorgaben jeweils auf, ob das Kraftfahrzeug durch den Fahrzeugführer oder mittels hoch- oder vollautomatisierter Fahrfunktionen gesteuert wird. Wird der Fahrzeugführer durch das hoch- oder vollautomatisierte System gemäß § 1a aufgefordert, die Fahrzeugsteuerung zu übernehmen, oder tritt eine technische Störung des hoch- oder vollautomatisierten Systems auf, findet gleichfalls eine Aufzeichnung nach dem Stand der Technik entsprechend den internationalen Vorgaben statt. (Hervorhebungen durch mich)

Der Gesetzgeber scheint davon auszugehen, dass das Kfz Daten aufzeichnet. Dies mag technisch zutreffend sein, wenn man davon ausgeht, dass in jedem Fahrzeug ein entsprechender Speicher eingebaut wird (werden muss). Datenschutzrechtlich würde man sich aber in jedem Fall die Frage stellen, wer konkret verpflichtet ist, die (personenbezogenen) Daten in dem Speicher aufzuzeichnen. Wer also, entsprechend der Definition in § 3 Abs. 7 BDSG die „verantwortliche Stelle“ ist. Nach § 3 Abs. 7 BDSG kann dies nur eine natürliche oder juristische Person oder Stelle sein. Das Kfz als Sache scheidet also aus. Da der Fahrzeugführer keinen Einfluss auf die Mittel der Speicherung der Daten (als die technischen Gegebenheiten) haben wird, dürfte der Schluss naheliegen, dass der Fahrzeughersteller als datenschutzrechtlich verantwortliche Stelle für die Speicherung anzusehen ist. Klar wird dies im Gesetzentwurf aber nicht. Der Fahrzeugführer hat keinen Einfluss darauf, welche Daten konkret und wie diese gespeichert werden.

 (2) Die gemäß Absatz 1 aufgezeichneten Daten sind den nach Landesrecht für die Überwachung des Straßenverkehrs zuständigen Behörden auf deren Verlangen zu übermitteln. (Hervorhebungen durch mich)

In § 63a Abs. 2 S. 1 StVG-E geht es dem klaren Wortlaut nach um eine Übermittlung der Daten aus dem Speicher an Behörden. Auch hier schließt sich aber die bereits oben aufgeworfene Frage an, wer für die Übermittlung der Daten aus dem Speicher datenschutzrechtlich verantwortlich ist? Auch hier ließe sich an den Fahrzeughersteller denken. Der Fahrzeugführer selbst hat keinen Einfluss auf die Übermittlung auf dem Speicher an die Behörden.

Zudem ist zu beachten, dass von einer „Übermittlung“ ausgegangen wird. Das bedeutet, dass die datenempfangende Stelle datenschutzrechtlich ein „Dritter“ sein muss (vgl. § 3 Abs. 4 S. 3 BDSG).

 Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden. Der Umfang der Datenübermittlung ist auf das Maß zu beschränken, das für den Zweck der Feststellung des Absatzes 1 im Zusammenhang mit der eingeleiteten Kontrolle durch diese Behörden notwendige ist. Davon unberührt bleiben die allgemeinen Regelungen zur Verarbeitung personenbezogener Daten. (Hervorhebungen durch mich)

 Nach § 63a Abs. 2 S. 2 StVG-E dürfen die aus dem Speicher übermittelten Daten durch „diese“ gespeichert und genutzt werden. Mit „diese“ kann nur aus S. 1 und die Behörde Bezug genommen sein. Es stellt sich aber die Frage, für welche Zwecke die Behörde die Daten verwenden darf? Dies wird in S. 2 nicht erläutert.

Zwar wird zumindest grob in S. 3 ein Zweck beschrieben („Zweck der Feststellung des Absatzes 1“). Jedoch bezieht sich diese Zweckbestimmung allein auf die in S. 3 angesprochene Datenübermittlung und deren Umfang. Es fehlt an einem verbindenden Element zu S. 2 und der Speicherung und Nutzung.

Nun mag man sich fragen, ob sich der Zweck der Datenverwendung denn nicht aus dem Zusammenhang ergebe. Dies kann man evtl. so sehen. Jedoch könnte diese Ungenauigkeit im Gesetz spätestes ab Mai 2018, wenn die Datenschutz-Grundverordnung anwendbar ist, dazu führen, dass die nationalen Regelungen gegen die Vorgaben von Art. 6 Abs. 2 und 3 DSGVO verstoßen. Art. 6 Abs. 3 DSGVO dürfte wohl den Maßstab für die hier in Rede stehenden gesetzlichen Erlaubnistatbestände der Datenverarbeitung durch Behörden darstellen. Nach Art. 6 Abs. 3 DSGVO wird die Rechtsgrundlage für die Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO), durch das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt. In dieser Rechtsgrundlage muss aber entweder der Zweck der Verarbeitung angegeben sein (der hier für die Speicherung und Nutzung fehlt) oder die Verarbeitung muss für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Man mag nun argumentieren, dass die Speicherung und Nutzung (§ 63a Abs. 2 S. 2 StVG-E) der Daten für die Erfüllung einer Aufgabe erforderlich sind, die in Ausübung öffentlicher Gewalt erfolgt. Hier kann man aber schon fragen, was konkret diese Aufgabe (mit Blick auf die Speicherung und Nutzung der Daten) ist. Wie gesagt, der „Zweck der Feststellung“ bezieht sich nur auf die Datenübermittlung. Dann ist jedoch immer noch die Vorgabe des Art. 6 Abs. 2 DSGVO zu beachten, nach dem national spezifischere Bestimmungen zur Anpassung der Anwendung u.a. von Art. 6 Abs. 1 lit. e) DSGVO eingeführt werden dürfen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung gewährleisten. Zu den Grundsätzen „Treu und Glauben“ und „Rechtmäßigkeit“ zählt auch die Transparenz der Datenverarbeitung gegenüber betroffenen Personen. Diese müssen wissen, für welche Zwecke Daten verarbeitet werden (vgl. auch ErwG 39 DSGVO). Ob diese Anforderungen hier erfüllt sind, darüber mag man diskutieren.

Begründung zum Gesetzentwurf, S. 22:

Absatz 2 des § 63a StVG (neu) regelt die Übermittlung und Verarbeitung der aufgezeichneten Daten für Kontrollen. Daneben bleibt das Zugangsregime nach anderen Vorschriften, wie zum Beispiel der Strafprozeßordnung (StPO) unberührt. Die Verpflichtung zur Übermittlung der Daten trifft den Datenverantwortlichen. (Hervorhebungen durch mich)

Hieraus könnte man zwar die Zwecke der Verarbeitung durch Behörden ableiten. Jedoch muss kritisch angemerkt werden, dass die Zwecke nicht im Gesetz selbst erwähnt sind.

Völlig unklar ist, wen der Gesetzgeber mit dem „Datenverantwortlichen“ meint. Dieser soll zur Übermittlung verpflichtet sein. Handelt es sich hierbei um die „verantwortliche Stelle“ des BDSG? Ist der Datenverantwortliche also z. B. der Fahrzeughersteller?  Leider bleiben diese Fragen unbeantwortet.

(3) Dritten sind die gemäß Absatz 1 gespeicherten Daten zu übermitteln, wenn sie glaubhaft machen, dass

1. die Daten zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis erforderlich sind und

2. das entsprechende Kraftfahrzeug mit automatisierter Fahrfunktion an diesem Ereignis beteiligt war. Absatz 2 Satz 2 findet entsprechend Anwendung. (Hervorhebungen durch mich)

 Nach § 63a Abs. 3 S. 1 StVG-E sollen die Daten auch noch an andere „Dritte“ übermittelt werden. Auch die in Abs. 2 referenzierten Behörden sind Dritte (siehe oben). Es stellt sich dann aber die Frage, welcher qualitative Unterschied zwischen den Dritten in Abs. 2 und Abs. 3 besteht. Oder ob ein solcher überhaupt existiert? Gilt Abs. 3 also evtl. auch für Behörden?

Dies mag man mit dem Argument ablehnen, dass doch klar sei, dass es hier in Abs. 3 um den am Unfall Beteiligten gehe. So klar ist dies meines Erachtens jedoch nicht. Denn aus dem Wortlaut ergibt sich nicht, dass der Dritte selbst einen Anspruch geltend machen muss. Die Daten müssen allgemein einfach zur Geltendmachung erforderlich sein, jedoch nicht notwendigerweise durch den die Daten empfangenden Dritten.

Begründung zum Gesetzentwurf, S. 22:

Absatz 3 gibt Beteiligten an einem Unfall (Dritte), in dem potenziell Fahrzeuge mit automatisierten Systemen verwickelt sind, die Möglichkeit, die aufgezeichneten Daten zu erhalten. (Hervorhebungen durch mich)

Mit dieser Begründung wird klarer, dass es sich bei dem Dritten um am Unfall Beteiligte handelt. Wie gesagt, lässt sich dies dem Wortlaut des Gesetzes aber nicht entnehmen.

Auch in Abs. 3 stellt sich erneut die Frage, wer denn datenschutzrechtlich für die Übermittlung verantwortlich ist? Die Gesetzesbegründung (siehe oben) bezieht sich nur auf Abs. 2.

Nach § 63a Abs. 3 S. 2 StVG-E soll „Absatz 2 Satz 2“ entsprechend Anwendung finden. Dort heißt es: „Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden“. Auch hier fehlt also erneut eine Zweckbestimmung für die Speicherung und Nutzung der Daten bei den Dritten. Die Vorschrift endet schlicht mit der Anordnung der Übermittlung.

Zuletzt: dass es sich bei den Informationen in dem internen Speicher im Kfz um personenbezogene Daten handelt, dürfte wohl kaum bestreitbar sein. Hierfür sprechen auch mehrere Hinweise im Gesetzentwurf selbst, wenn etwa von dem eindeutigen „Identifikationsdatum des Speichermediums (Speicher-ID)“ gesprochen wird, das beim Kraftfahrt-Bundesamt ergänzt werden muss. Die Zulassungsbehörden müssen etwa auch zusätzlich das eindeutige Identifikationsdatum des Speichermediums (Speicher-ID) erfassen (S. 15).

Regelungen für Roboter-Entwicklung: EU-Parlament legt Wert auf Datenschutz und IT-Sicherheit

Am 16. Februar hat das EU-Parlament eine Entschließung (pdf) mit dem Titel „Zivilrechtliche Regelungen im Bereich Robotik“ mit Empfehlungen an die Europäische Kommission angenommen.

In der Entschließung geht es um ganz verschiedene rechtliche aber auch soziale Themen rund um die zunehmende Automatisierung und den Einsatz von (immer intelligenter werdenden) Robotern.

Natürlich wird in der Entschließung (wenn auch nur knapp) auf den Datenschutz eingegangen (ab Rz. 18). Wenig überraschend fordert das Parlament, dass zukünftige zivilrechtliche Regelungen im Bereich der Robotik im Einklang mit den gesetzlichen Vorgaben zum Datenschutz, insbesondere der Datenschutz-Grundverordnung (DSGVO), stehen müssen. Das Datenschutzrecht ist also bei der Entwicklung und dem Betrieb von Robotern vollumfänglich zu beachten.

Interessant ist die Forderung des Parlaments, dass die datenschutzrechtlichen Vorgaben zum Einsatz von Kameras und Sensoren in Robotersystemen präzisiert werden müssen. Man könnte hier auch von „geschaffen werden müssen“ sprechen, denn die DSGVO enthält zum Beispiel gar keine ausdrücklichen Vorgaben zur Datenverarbeitung durch Videokameras oder Sensoren. Zudem ist mit Blick auf die Sensoren daran zu erinnern, dass die EU Kommission in ihrem Vorschlag für die ePrivacy-Verordnung ausdrücklich die Maschine-zu-Maschine-Kommunikation regeln möchte (vgl. Erwägungsgrund 12 und Art. 8 Abs. 2, pdf), die wiederum den Regelungen der DSGVO vorgehen würde. Der Datenaustausch zwischen Robotern würde also etwa in den Anwendungsbereich der ePrivacy-Verordnung fallen.

Zudem widmet sich das Parlament auch dem Thema der Daten-/IT-Sicherheit. Laut der Entschließung ist ein hohes Maß an Sicherheit von Robotersystemen, auch was ihre internen Datensysteme und Datenflüsse betrifft, für eine angemessene Nutzung der Robotik und Künstlicher Intelligenz von entscheidender Bedeutung.

Nach Ansicht der Parlamentarier sind es dann auch die Entwickler von Robotik und künstlicher Intelligenz, die dafür verantwortlich sind, die Produkte so zu gestalten , dass sie sicher sind und ihren Zweck erfüllen. Insbesondere das Thema der (Cyber)Sicherheit von vernetzten Gegenständen, wie etwa Robotern, und die Frage der Haftung für Schäden, die durch das Ausnutzen von Sicherheitslücken oder unentdeckten Schwachstellen entstehen, dürfte sich in Zukunft gerade auch im Bereich der Robotik stellen (man denke etwa an einen von Hackern gekaperten Industrieroboter in der Automobilfertigung, der sowohl Material als auch Menschen in seinem Umfeld beschädigt und verletzt).

An die Entschließung angefügt findet sich zudem eine „Charta über Robotik“, die einen ethischen Verhaltenskodex für Robotikingenieure beinhaltet.

Auch in diesem Verhaltenskodex hat das EU-Parlament Vorgaben zum Schutz der Privatsphäre im Bereich der Robotik integriert. Danach soll ein Robotikingenieur garantieren(!), dass Personen nicht persönlich identifizierbar sind, abgesehen von außergewöhnlichen Umständen. In diesem Fall müsse dann aber eine klare, eindeutige Zustimmung der betroffenen Personen eingeholt werden. Leider wird nicht deutlich, für was konkret die Einwilligung eingeholt werden soll: die Identifizierung und/oder die Verarbeitung personenbezogener Daten?

Es erscheint durchaus diskutabel, warum Ingenieure garantieren sollten, dass Personen, die etwa in das Blickfeld eines Roboters geraten oder auch mit dem Roboter interagieren müssen, nicht durch diesen identifiziert werden sollen. Der Verhaltenskodex spricht ja davon, dass dies nur unter „außergewöhnlichen Umständen“ möglich sein soll, also gerade nicht dann, wenn der Roboter seiner gewöhnlichen Bestimmung nachgeht. Soll also die Entwicklung von Robotern, deren Tätigkeit gerade auf die Identifizierung von Personen angelegt ist, in Zukunft verboten sein? Zudem stellt sich die Frage, wie man in einem Verhaltenskodex als Erlaubnistatbestand für eine Identifizierung (bzw. einen Umgang mit personenbezogenen Daten) allein die Zustimmung von Betroffenen gelten lassen kann? Derzeit und auch in Zukunft wird die Einwilligung gerade nicht die einzige oder gesetzlich priorisierte Möglichkeit darstellen, um mit personenbezogenen Daten umzugehen. Warum dies im Bereich Robotik (wenn auch „nur“ in einem freiwilligen Verhaltenskodex) anders sein soll, leuchtet nicht recht ein. Zumal sich zusätzliche Probleme bei der Einholung einer ausdrücklichen Zustimmung in der Praxis stellen (was ist etwa mit Personen, die durch das Sichtfeld eines Roboters gehen, die jedoch bereits in diesem Moment identifiziert werden können?).

Man darf gespannt sein, welche regulatorischen Schritte die EU-Kommission in dem immer stärker wachsenden Bereich der Robotik vorschlagen wird und welche Forderungen des EU-Parlaments einen möglichen legislativen Prozess prägen und überdauern werden.

UN-Wirtschaftskommission für Europa: Datenschutz- und IT-Sicherheitsstandards für vernetzte Fahrzeuge

Eine informelle Arbeitsgruppe der Wirtschaftskommission für Europa der Vereinten Nationen (kurz UNECE), die u.a. Vorschläge und Vorlagen für ECE-Regelungen für Kraftfahrzeuge entwickelt, hat einen Vorschlag für Leitlinien zur IT-/Netz-Sicherheit und zum Datenschutz bei vernetzten Fahrzeugen und Kraftfahrzeugen mit automatisierten Fahrfunktionen veröffentlicht („Proposal for draft guidelines on cyber security and data protection“, PDF).

Die Vorschläge, die im März 2017 bei der Sitzung des UN/ECE-Weltforums für die Harmonisierung der Regelungen für Kraftfahrzeuge angenommen werden sollen, sind von besonderer Relevanz, da hierdurch einheitliche internationale Vorgaben zur IT-Sicherheit und zum Datenschutz bei intelligenten Fahrzeugen eingeführt werden könnten.

In dem Entwurf wird einleitend auf die Notwendigkeit klarer Vorgaben zur IT-Sicherheit und zum Datenschutz in vernetzten Fahrzeugen und solchen mit automatisierten Fahrfunktionen hingewiesen. Es müsse sichergestellt werden, dass Fahrzeuge vor äußeren Störungen und Manipulationen geschützt sind.

Die Leitlinien sollen für Fahrzeughersteller, System- und Teilezulieferer und Anbieter von Diensten, die auf den Fahrzeugsystemen installiert werden, gelten und diesen Vorgaben machen, um ein hohes IT-Sicherheitsniveau zu erreichen. Zudem sollen diese Leitlinien als Grundlage für die Entwicklung von Vorgaben in UN-Richtlinien dienen.

Wichtig ist zudem der Hinweis, dass die Leitlinien keinen Einfluss auf geltendes Datenschutzrecht haben. Die Vorgaben gliedern sich in vier Themenkomplexe, die ein vernetztes Fahrzeug bzw. ein solches mit automatisierten Fahrfunktionen jeweils erfüllen muss:

–          Allgemeine Vorgaben.

–          Datenschutz.

–          Safety (iSv „Betriebssicherheit“).

–          Security (iSv „Angriffssicherheit“).

Generell dürfen personenbezogene Daten in Fahrzeugen nur auf rechtlich zulässige und insbesondere transparente Weise verarbeitet werden. Das Datenschutzrecht ist also zu beachten. Fahrzeughersteller, System- und Teilezulieferer sowie Diensteanbeiter sollen die Prinzipien „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Privacy by Default) beachten. Bereits auf der Ebene der Fertigung von Komponenten für vernetzte Fahrzeuge soll also der Datenschutz Beachtung finden. Diese Prinzipien finden sich etwa auch in der ab Mai 2018 unmittelbar anwendbaren EU Datenschutz-Grundverordnung. Zudem sollen die benannten Akteure sicherstellen, dass Datenverbindungen und –kommunikation nur verschlüsselt erfolgen.

Betroffene Personen sollen umfassend und klar darüber informiert werden, welche Daten von ihnen verarbeitet werden und für welche Zwecke dies geschieht. Dem Grundsatz der Datensparsamkeit folgend, sollen nur soviele Daten erhoben werden, wie für den konkreten Zweck erforderlich sind.

Auf Betriebssicherheitsebene sollen Standards, wie etwa ISO 26262, angewendet werden. Zudem werden gewisse Vorgaben an die Datenverbindung und –kommunikation selbst gemacht. Diese dürfen nicht andere Systeme beeinflussen, die Informationen erzeigen, die für die Kontrolle eines Fahrzeugs erforderlich sind. Zudem sollen die Verbindungen derart beschaffen sein, dass falsche Zugriffe oder auch Manipulationen am System über diese Verbindungen nicht möglich sind.

Zur erforderlichen Angriffssicherheit der Fahrzeuge und Systeme wird die Anforderung aufgestellt, dass Sicherheitsstandards, wie etwa nach ISO 27000 und ISO/IEC 15408, umgesetzt werden sollen. Zudem sollen vernetzte Fahrzeuge etwa mit der Fähigkeit ausgestattet sein, kryptographische Schlüssel verwalten zu können.

Man darf gespannt sein, in welcher Form diese Leitlinien am Ende durch das UN/ECE-Weltforum für die Harmonisierung der Regelungen für Kraftfahrzeuge beschlossen werden und in Zukunft die Mindeststandards für intelligente Fahrzeuge darstellen könnten. Auffällig ist, dass die vorgeschlagenen Maßnahmen oder Prinzipien inhaltlich nicht neu sind und mit Blick auf EU-Gesetze wie die Datenschutz-Grundverordnung oder den Vorschlag für die ePrivacy-Verordnung, viele gesetzliche Vorgaben aufnehmen. Klar ist jedoch: ohne Maßnahmen zur IT-Sicherheit und zum Datenschutz geht es nicht mehr.

Like-Button vor dem EuGH: OLG Düsseldorf möchte wissen, wer verantwortlich ist

Im Verfahren zwischen der Verbrauchzentrale Nordrhein-Westfalen (VZNRW) und der Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) zur datenschutzrechtlichen Zulässigkeit der Einbindung des Facebook Like-Buttons auf einer Webseite, hat das OLD Düsseldorf das Verfahren ausgesetzt und dem EuGH mehrere interessante Datenschutzfragen vorgelegt (Beschluss vom 19.01.2017 – I-20 U 40/16; derzeit leider noch nicht frei zugänglich). Die Vorinstanz, das LG Düsseldorf, hatte Fashion ID u.a. dazu verurteilt, die Einwilligung von Webseitenbesuchern einzuholen, bevor über das Plugin die IP-Adresse der Besucher an Facebook übermittelt wird (Urt. v.  09.03.2016 – 12 O 151/15; hier mein Blogbeitrag zu dem Urteil).

Facebook ist dem dem Rechtsstreit auf Seiten der Beklagten beigetreten. Das OLG Düsseldorf legt dem EuGH mehrere interessante Fragen zur Auslegung der geltenden EU-Datenschutzrichtlinie (RL 95/46/EG) vor.

Zunächst möchte das Gericht aber einmal wissen, ob denn die VZNRW überhaupt klagebfugt ist. Das LG Düsseldorf hatte dies noch, auf der Grundlage von § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvorschriften. Fashion ID argumentiert, dass dieses Verständnis nicht in Einklang mit der RL 95/46/EG stehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle insoweit eine abschließende Regelung dar. Interessant ist diese Vorlagefrage vor allem mit Blick auf das (nicht mehr ganz) neue Verbandsklagerecht in Deutschland. Das OLG Düsseldorf lässt in seinem Beschluss  erkennen, dass es davon ausgeht, dass eine solche Verbandsklagebefugnis der RL 95/46/EG nicht entgegensteht.

Natürlich möchte das OLG dann wissen, ob der Webseitenbetreiber, der das Plugin (also Code) einbindet, datenschutzrechtlich die „verantwortliche Stelle“ ist. Hier tendiert das OLG in seiner Begründung dazu, diese Verantwortlichkeit abzulehnen und verweist dazu auch auf den Vorlagebeschluss des BVerwG zu dem ebenfalls beim EuGH anhängigen Verfahren zu Facebook Fanpages.

Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Das OLG Düsseldorf führt dazu richtigerweise aus, dass die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“ praktisch datenschutzrechtlich eine derartige Einbindung unmöglich mache. Denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Interessant ist dann die Anschlussfrage des OLG, wenn keine datenschutzrechtliche Verantwortlichkeit angenommen wird. Man könnte dann nämlich über eine (m.E. abzulehnende Anwendung der Figur des „Störers“) nachdenken. Insofern stellt sich dann die Frage, ob Art. 2 Buchst. d) RL 95/46/EG insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.

Wie auch das Vorlageverfahren des BVerwG (C-210/16), so ist auch dieses Verfahren von praktischer Relevanz. Im hiesigen Verfahren am OLG insofern eventuell in einer noch gesteigerten Form, da in der Praxis sowohl auf Webseiten und in Apps massenweise tagtäglich Plugins eingebunden werden. Eine datenschutzrechtliche Klärung ist daher zu begrüßen. Eventuell muss man sich aber mit dem Gedanken anfreunden, dass ein Urteil des EuGH erst nach dem 25. Mai 2018 und damit erst dann gefällt wird, wenn die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und die RL 95/46/EG nicht mehr existiert. Nichtsdestotrotz ist die Frage nach der datenschutzrechtlichen Verantwortlichkeit und auch ein möglicher Rückgriff auf die Figur der Störerhaftung auch unter der DSGVO relevant.

Europäische Datenschützer: Rolle des Datenschutzbeauftragten in der Datenschutz-Grundverordnung

Die Art. 29 Datenschutzgruppe, der Zusammenschluss der nationalen Datenschutzbehörden in Europa, hat einen Leitfaden zu der Figur des Datenschutzbeauftragten in der ab Mai 2018 anwendbaren Datenschutz Grundverordnung beschlossen und veröffentlicht (pdf).

Die europäischen Datenschützer werden in Zukunft weitere Leitlinien zu verschiedenen Themen der Datenschutz-Grundverordnung (DSGVO) veröffentlichen. Bei diesen Leitlinien handelt es sich nicht um die bereits bekannten, teilweise sehr ausführlichen, Stellungnahmen der Datenschützer. Die Leitlinien sind eher als grober Überblick und Richtschnur für die Praxis zu sehen und geben einen Eindruck davon, wie die europäischen Datenschutzbehörden verschiedene Bestimmung der Datenschutz-Grundverordnung interpretieren. Aus Sicht der Praxis sind diese Leitlinien in jedem Fall ein wertvolles Instrument und sollten bei der Arbeit im Datenschutzrecht und der anstehenden Umsetzung der Vorgaben der Datenschutz-Grundverordnung zumindest zur Kenntnis genommen werden.

In ihrem Leitfaden zum Datenschutzbeauftragten stellen die Datenschützer zunächst fest, dass ihrer Auffassung nach Datenschutzbeauftragte nicht persönlich für die Nichteinhaltung der Datenschutz Grundverordnung durch den Verantwortlichen oder den Auftragsverarbeiter haftet. Nach Auffassung der Datenschützer sei es klar, dass allein der verantwortliche oder der Auftragsverarbeiter verpflichtet sind und nachweisen müssen, dass eine Datenverarbeitung den Vorgaben der Datenschutz Grundverordnung entspricht. Hierzu verweisen sie auf Art. 24 Abs. 1 DSGVO, der die allgemeine Rechenschaftspflicht etabliert.

Des Weiteren erläutern die Datenschützer in ihrem Leitfaden näher, unter welchen Voraussetzungen Datenschutzbeauftragter verpflichten zu bestellen ist, Art. 37 Abs. 1 DSGVO. Interessant ist der Hinweis, dass die Datenschützer empfehlen, die interne Vor-Prüfung, ob bei einem Verantwortlichen oder Auftragsverarbeiter ein Datenschutzbeauftragter zu bestellen ist, dokumentierbar durchgeführt werden sollte, um diese Prüfung im Zweifelsfall nachweisen zu können.

Nach Art. 37 Abs. 1 lit. b) DSGVO muss ein Verantwortliche oder ein Auftragsverarbeiter auf jeden Fall einen Datenschutzbeauftragten benennen, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Die Datenschützer interpretieren den Begriff der „Kerntätigkeit“ im Sinne des Kerngeschäfts, dessen Durchführung für den Verantwortlichen oder Auftragsverarbeiter erforderlich ist, um seine Ziele zu erreichen. Nach Auffassung der Datenschützer sollte der Begriff „Kerntätigkeit“ jedoch nicht zu eng verstanden werden und daher auch solche Aktivitäten umfassen, die untrennbar Teil der Aktivität des Verantwortlichen oder Auftragsverarbeiters sind. Hier wird die Leitlinie leider etwas unbestimmt, auch wenn die Datenschützer versuchen, mit konkreten Beispielen mehr Licht in ihre Aussagen zu bringen. Nicht als Kerntätigkeit stufen die Datenschützer richtigerweise Verarbeitungen im Zusammenhang mit der Verwaltung oder auch der Bezahlung der Mitarbeiter und auch des IT-Supports ein.

Nach Art. 37 Abs. 1 lit. b) DSGVO erfordert zudem eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“. Die Datenschützer weisen darauf hin, dass der Begriff „umfangreich“ nicht konkret mit einer Zahl hinterlegt werden könne. Die Datenschützer benennen einige Faktoren, die ihrer Ansicht nach bei der Prüfung, ob eine umfangreiche Verarbeitung gegeben ist, berücksichtigt werden sollten. Hierzu sollen unter anderem die Zahl der betroffenen Personen, der Umfang der Datensätze oder auch die Dauer der Datenverarbeitung und ihre geographische Ausdehnung Berücksichtigung finden. Zwar verweisen die Datenschützer in ihrer Leitlinie auf Erwägungsgrund 91, in dem es heißt:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Jedoch scheinen die Datenschützer die dortige Begründung nicht unbedingt auf den Themenkomplex Datenschutzbeauftragter anwenden zu wollen. Die Ablehnung der Übertragung lässt sich meines Erachtens kritisieren, da kein Grund dafür ersichtlich ist, warum die Informationen Erwägungsgrund 91, in denen es genau um die Frage geht, wann eine Verarbeitung umfangreich bzw. eben nicht umfangreich ist, nicht auch hier im Rahmen der Frage zu berücksichtigen sind, wann ein Datenschutzbeauftragter zu bestellen ist. Betrachtet man Erwägungsgrund 91, so ist auch klar, dass der von den Datenschützern benannte Faktor „Zahl der betroffenen Person“ im Ergebnis keine größere Rolle spielt, der nach Erwägungsgrund 91 genau dieser Faktor unerheblich ist, selbst wenn etwa 100.000 Patientendatensätze von einem Arzt verarbeitet werden.

Mit Blick auf den Begriff „regelmäßige und systematische Überwachung“ gehen die Datenschützer davon aus, dass dieser auf der einen Seite selbstverständlich das online Trekking oder die Profilbildung im Internet, etwa für verhaltensbasierte Werbung umfasst. Daneben sind aber auch Überwachungsmethoden umfasst, die nicht im Internet sondern in der „Offline“-Welt stattfinden.

Zu den Anforderungen an die Person des Datenschutzbeauftragten selbst (Art. 37 Abs. 5 DSGVO) halten die Datenschützer fest, dass die Begriffe „berufliche Qualifikation“ und „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ in der DSGVO nicht näher umschrieben sind. Nach Auffassung der europäischen Datenschützer ist es jedoch ein maßgebliches Element, dass der Datenschutzbeauftragte Fachwissen im nationalen und europäischen Datenschutzrecht, in der Datenschutzpraxis und zusätzlich ein fundiertes Verständnis der DSGVO selbst haben muss.

Die Leitlinien der Datenschützer befassen sich noch mit vielen weiteren Themen rund um den Datenschutzbeauftragten, insbesondere auch mit seinen gesetzlich festgelegten Aufgaben und seiner Stellung beim Verantwortlichen oder Auftragsverarbeiter.

EU-Minister sollen über Gewährleistungsrechte beim Kauf vernetzter Geräte entscheiden

Am 9. Dezember 2015 hat die europäische Kommission Entwürfe für zwei verschiedene Richtlinien zum einen über bestimmte vertragliche Aspekte des online waren Handels (COM(2015) 635) und zum anderen über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte (COM(2015) 634)  veröffentlicht. Insbesondere der 2. Richtlinienvorschlag zur Bereitstellung digitaler Inhalte bietet interessante Neuerungen zur aktuellen Rechtslage. Dort sind unter anderem Regelungen zu Situationen vorgesehen, in denen der Zugang bzw. die Bereitstellung personenbezogener Daten oder auch „anderer Daten“ als Gegenleistung für die Bereitstellung digitaler Inhalte anerkannt werden soll (vgl. Art. 3 Abs. 1).

Die beiden Richtlinie Entwürfe werden nun in den verschiedenen europäischen Institutionen beraten. Unter anderem auch im Rat der Europäischen Union.

In einem relativ aktuellen Dokument der Ratspräsidentschaft an den Rat vom 1. Dezember 2016 (14827/16, pdf) wird der aktuelle Diskussionsstand im Rat übersichtlich zusammengefasst und es werden auch Fragen an die einzelnen Mitgliedstaaten zu besonderen Schwerpunkten und noch offenen bzw. streitigen Themen gestellt. Zwei dieser offenen Punkte möchte ich nachfolgend kurz besprechen.

Welche Gewährleistungsregeln sollen bei vernetzten Geräten gelten?

In ihrem ersten Fragekomplex beleuchtet die Ratspräsidentschaft intelligente Haushaltsgeräte (Stichworte sind hier „Internet der Dinge“, „smart cars“ oder auch „smart homes“). Diese intelligenten und vernetzten Geräte bieten bereits derzeit und mit Sicherheit auch in Zukunft bis zu einem gewissen Grad digitale Inhalte an. Als Beispiel wird etwa der intelligente Kühlschrank angeführt, der seinen Inhalt selbst überprüft und eine Einkaufsliste für fehlende Gegenstände erstellt.

Zwischen den Mitgliedstaaten im Rat ist umstritten, welche Gewährleistungsvorschriften aus den beiden zuvor benannten Richtlinienvorschlägen gelten sollen, wenn es bei so einem intelligenten Gerät, man denke hier etwa auch an vernetzte Fahrzeuge, zu einem Fehler kommt bzw. ein Mangel auftritt. Sollen in diesem Fall die Regelungen für die Bereitstellung digitaler Inhalte gelten oder doch die Regelungen für den Verkauf normaler (also physischer) Waren?

Der Richtlinienvorschlag der Kommission zur Bereitstellung digitaler Inhalte sieht vor, dass die Regelungen der Richtlinie nicht für digitale Inhalte gelten sollen, „die derart in einer Ware integriert sind, dass sie fester Bestandteil der Ware sind und ihre Funktionen den Hauptfunktionen der Ware untergeordnet sind“ (Erwägungsgrund 11). Nach Auffassung der Ratspräsidentschaft würde dies bedeuten, dass wohl zumeist die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter gelten würden (Richtlinie 1999/44/EG).

Innerhalb der Arbeitsgruppe des Rates für Zivilrecht wurden vor diesem Hintergrund drei mögliche Optionen für ein zukünftiges Vorgehen und gesetzliche Regelungen beraten:

  • Die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs auf die in den Produkten integrierten, digitalen Inhalte anzuwenden.
  • Eine Trennung in der Form vorzunehmen, dass die Regeln zum Verbrauchsgüterkauf auf die physische Ware selbst und die neuen Regeln der vorgeschlagenen Richtlinie auf die in dem Gerät enthaltenen digitalen Inhalte anwendbar sein.
  • Die neuen Vorgaben zu digitalen Inhalten insgesamt auf das vernetzte Gerät anzuwenden, jedoch mit der Ausnahme, dass der Verkäufer die Möglichkeit hat darzulegen, dass der Mangel sich allein aus dem (physischen) Produkt selbst ergibt und dann die Regeln zum Verbrauchsgüterkauf anwendbar wären.

Nach Aussage der Ratspräsidentschaft fand die zweite Option (Trennung) wohl kaum Zuspruch. Für die beiden anderen Optionen gab es jeweils für sprechende Stimmen der Mitgliedstaaten, ohne dass jedoch bisher eine eindeutige Mehrheit erkennbar wäre.

Vor diesem Hintergrund bittet der Rat auf politischer Ebene (also durch die Minister der Mitgliedstaaten) zu entscheiden, welche Option für weitere Diskussionen in der Arbeitsgruppe die Grundlage sein soll.

Die Entscheidung der Minister und damit die zukünftigen Diskussionen sind für die Wirtschaft in Europa nicht trivial. Gerade wenn man bedenkt, wie viele vernetzte Geräte ist derzeit bereits gibt und wohl in Zukunft auch auf dem Markt vorhanden sein werden. Man sollte sich dabei auf vor Augen halten, dass es hier eben nicht nur um kleine Geräte im eigenen zu Hause geht, sondern grundsätzlich auch etwa um vernetzte Fahrzeuge.

Nach Auffassung der Ratspräsidentschaft würde die erste Option, also auf vernetzte Geräte grundsätzlich die Regelung des Verbrauchsgüterkaufs anzuwenden, aus Sicht der Verbraucher leichter vorhersehbare Rechte bereithalten. Jedoch würden natürlich gleichzeitig auch die spezifischen Vorgaben für digitale Inhalte unter der vorgeschlagenen Richtlinie der europäischen Kommission dann nicht anwendbar sein.

Die dritte vorgeschlagene Option bietet aus Sicht der Ratspräsidentschaft eine flexiblere Möglichkeit diejenigen Regelungen zur Anwendung zu bringen, die in der ehemaligen Situation am besten geeignet sind. Dem Verkäufer verbliebene immer noch die Möglichkeit darzulegen, dass in einem konkreten Fall die normalen Regeln zum Verbrauchsgüterkauf gelten würden, wenn etwa ein Mangel allein das physische Gerät an sich betrifft.

Was genau sind „andere Daten“ und sollen diese als Gegenleistung anerkannt werden?

Im zweiten Themenkomplex des Arbeitsdokumentes befasst sich die Ratspräsidentschaft mit dem Begriff der „anderen Daten“ aus dem Richtlinienvorschlag zur Bereitstellung digitaler Inhalte. Einleitend wird darauf hingewiesen, dass bereits in der Vergangenheit im Rat Diskussion zum Verhältnis zwischen der vorgeschlagenen Richtlinie und der ab Mai 2018 anwendbaren Datenschutz-Grundverordnung (DSGVO) geführt wurden. Das Zusammenspiel der beiden Rechtsinstrumente sei nach Auffassung der Ratspräsidentschaft sehr komplex und habe weitere Probleme zutage gefördert, die noch näher behandelt werden müssten. Dies auch vor dem Hintergrund, da der vorgeschlagene Richtlinienentwurf neben den „anderen Daten“ auch personenbezogene Daten erwähnt und ist daher ein Unterschied zwischen beiden Datenarten zu geben scheint.

Zwar existiert bereits derzeit für gewisse Fragen ein Prüfauftrag an den juristischen Dienstes des Rates. So hat die deutsche Delegation im Rat den juristischen Dienst um eine Stellungnahme dazu gebeten, auf welcher Rechtsgrundlage der DSGVO personenbezogene Daten verarbeitet werden dürfen, wenn diese eine Gegenleistung für die Bereitstellung digitaler Inhalte darstellen, in der DSGVO jedoch in Art. 7 Abs. 4 ein Kopplungsverbot für die Einwilligung vorgesehen ist.

Auch hinsichtlich dieses Themenkomplexes, und ohne Antworten etwa des juristischen Dienstes vorgreifen zu wollen, bittet jedoch die Ratspräsidentschaft die Minister der Mitgliedstaaten um eine Vorgabe dazu, ob die Bereitstellung von „anderen Daten“ tatsächlich als eine Gegenleistung im Rahmen des Entwurfs der Richtlinie angesehen werden soll.

Die Ratspräsidentschaft erwähnt in ihrem Dokument noch einige Beispiele der „anderen Daten“, die von der Europäischen Kommission angeführt werden. So sollen zu den „anderen Daten“ zum Beispiel solche Daten gezählt werden die durch den jeweiligen Anbieter in irgend einer Form verwertet werden können, wie zum Beispiel Landschaftsbilder, Liedtexte oder auch anonymisierte Daten über Gruppen von Personen, die sich nicht auf identifizierbare einzelne Personen beziehen.

Jedoch weist die Ratspräsidentschaft darauf hin, dass sich in Diskussionen, unter anderem auch mit Experten ergeben hat, dass in den meisten Fällen solche Daten, die von dem Verbraucher zur Verfügung gestellt werden, diese auch ein Personenbezug aufweisen werden. Stellt sich da die Frage, ob es im Anwendungsbereich der vorgeschlagenen Richtlinie faktisch überhaupt „andere Daten“ geben kann.

In jedem Fall bringe die vorgeschlagene Unterscheidung im Richtlinienentwurf zwischen personenbezogenen Daten und anderen Daten Schwierigkeiten in der Praxis und damit Rechtsunsicherheit mit sich. Einige Delegationen im Rat seien daher der Auffassung, dass es einer Unterscheidung der beiden Datenkategorien nicht bedürfe. Insgesamt seien die Mitgliedstaaten im Rat aber unentschieden darüber, ob man die Kategorie der „anderen Daten“ im Richtlinienvorschlag beibehalten solle.

Auch dieser zweite Themenkomplex ist für europäische Unternehmen, die vernetzte bzw. intelligente Geräte herstellen und/oder vertreiben, von Relevanz. Denn betrachtet man etwa das Beispiel des intelligenten Autos, gibt es diesbezüglich ja durchaus auch Diskussionen über eine Unterscheidung zwischen direkt personenbezogenen Daten und solchen (rein statistischen) Daten, die keinen Personenbezug aufweisen. Hier könnte man sich also die Frage stellen, ob es sich bei letzteren Informationen um „andere Daten“ handelt und welche Regeln zukünftig für diese Daten gelten sollen.

Referentenentwurf zum BDSG-neu – Kurzanalyse zur zweckändernden Weiterverarbeitung nach § 23 BDSG-neu

In dem nun veröffentlichten Referentenentwurf des Bundesministeriums des Innern (Stand: 23.11.2016) „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ (PDF) soll u.a. in § 23 BDSG-neu eine Regelung zur Zulässigkeit von (Weiter-)Verarbeitungen personenbezogener Daten zu anderen Zwecken getroffen werden.

Mit Blick auf eine Weiterverarbeitung für andere Zwecke ist durchaus umstritten, ob Mitgliedstaaten im nationalen Recht eine eigene Rechtsgrundlage für diese Weiterverarbeitung schaffen dürfen und ob Art. 6 Abs. 4 DSGVO eine solche Ermächtigung enthält. Die zweckändernde Weiterverarbeitung personenbezogener Daten ist in der datenschutzrechtlichen Diskussion ohnehin ein Dauerbrenner.

Ich habe zu dieser Thematik eine kurze rechtliche Einschätzung erstellt. Abrufbar hier (PDF).

Erste Anmerkungen zum Referentenentwurf für das neue Allgemeine Bundesdatenschutzgesetz

Die europäische Datenschutz-Grundverordnung (DSGVO), welche ab dem 25. Mai 2018 in Europa anwendbar sein wird, stellt dem Grunde nach eine Verordnung nach Art. 288 Abs. 2 AEUV dar. Bekanntermaßen enthält sie jedoch Öffnungsklauseln für nationale Gesetzgeber, die sowohl die Möglichkeit zur Schaffung nationaler Regelungen beinhalten und in gewissen Bereichen die Mitgliedstaaten sogar verpflichten legislativ tätig zu werden.

Vor diesem Hintergrund hat das Bundesinnenministerium hat einen Referentenentwurf für ein „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ erarbeitet, der nun auch veröffentlicht wurde (PDF).

Bereits aus dem Umfang des Referentenentwurfs (immerhin 62 Paragrafen für ein Allgemeines Bundesdatenschutzgesetz) wird deutlich, dass auch mit Anwendbarkeit der DSGVO keine vollständige Harmonisierung des Datenschutzrechts in Europa existieren wird, sondern gewisse Bereiche weiter national (und durchaus auch divergierend) geregelt werden können bzw. müssen. In Zukunft wird man sich im Datenschutzrecht also nicht allein nur mit den Vorgaben der DSGVO befassen können.

Passend finde ich den Hinweis des BMI in der Entwurfsbegründung:

Damit entsteht für das Datenschutzrecht ein komplexes Regelungssystem aus unions- und mitgliedstaatlichen Vorschriften, das den Rechtsanwender vor eine anspruchsvolle Aufgabe stellt.

Nachfolgend möchte ich nur einige initiale Anmerkungen zu Teilen des Referentenentwurfs machen. Überdies sollte beachtet werden, dass sich bei diesem Entwurf noch nicht um den finalen Entwurf des Gesetzes handelt. Auch andere Ministerien, wie das Bundesministerium für Justiz und Verbraucherschutz oder auch das Wirtschaftsministerium, werden dem Entwurf für ein „Allgemeines Bundesdatenschutzgesetz“ (ABDSG) ihren Stempel aufdrücken wollen.

Anwendungsbereich
Das ABDSG soll künftig als allgemeines Datenschutzrecht des Bundes die Funktion haben, die bislang das BDSG hatte. Eine Auffangfunktion. Bereichsspezifische Regelungen des Bundes können also auch in Zukunft abweichendes Datenschutzrecht regeln. Das ABDSG gilt sowohl für nicht-öffentliche als auch öffentliche Stellen (des Bundes), § 2 Abs. 1 ABDSG.

Zweck des BDSG ist es insbesondere, das allgemeine deutsche Datenschutzrecht sowohl an die DSGVO als auch an die Richtlinie (EU) 2016/680 anzupassen. § 1 Abs. 2 Nr. 1 ABDSG verdeutlicht, dass für den Bereich der Wirtschaft in Zukunft fast ausschließlich die DSGVO die ausschlaggebenden datenschutzrechtlichen Maßgaben setzt. Nur in vereinzelten Bereichen gestattet die DSGVO abweichende nationale Regelung. Diese nationalen Regelungen sollen sich dann im ABDSG finden.

Erwähnenswert ist hier noch die Regelung des § 2 Abs. 4 ABDSG, nach der das ABDSG nur Anwendung findet, soweit der verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung verarbeitet. Durch diese Vorschrift soll geregelt werden, dass das ABDSG zur Anwendung kommt, wenn eine Datenverarbeitung durch eine in Deutschland ansässige Niederlassung vorliegt. Dies bedeutet aber auch, dass das ABDSG nicht anwendbar ist, wenn etwa ein Verantwortlicher nicht in der Europäischen Union niedergelassen ist, nach Art. 3 Abs. 2 DSGVO jedoch den Regelungen der DSGVO unterliegt, etwa weil er Personen in Deutschland Waren oder Dienstleistungen anbietet. In einem solchen Fall fehlt es nämlich an einer inländischen Niederlassung.

Erlaubnistatbestände für öffentliche Stellen
In § 4 ABDSG sollen spezifische Erlaubnistatbestände für Verarbeitungen durch öffentliche Stellen geschaffen werden. Das BMI möchte hier von den Öffnungsklauseln der Art. 6 Abs. 1 lit. e i. V. m. Art. 6 Abs. 3 S. 1 DSGVO Gebrauch machen. Die in § 4 Abs. 2 ABDSG aufgeführten Zwecke dienen insbesondere der Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe. Nach Abs. 2 Nr. 8 wird klargestellt, dass die Verarbeitung von personenbezogenen Daten zur Gewährleistung der Netz-, Daten- und Informationssicherheit ein öffentliches Interesse darstellt. Nach der Begründung zum Entwurf muss, wo dies erforderlich ist, das Sammeln, Auswerten und Untersuchen von Informationen über Sicherheitsrisiken oder -vorkehrungen und die gegenseitige Information, Beratung und Warnung von Staat, Wirtschaft oder Gesellschaft möglich sein. Ganz bewusst hat sich das BMI zudem dagegen entschieden, die Erlaubnis nur auf für das Gemeinwohl besonders wichtige Einrichtungen (wie z.B. Betreiber kritischer Infrastrukturen) zu beschränken.

Verarbeitung besonderer Kategorien personenbezogener Daten

In § 5 ABDSG (der nicht nur für öffentliche Stellen gilt) macht das BMI von der Öffnungsklausel des Art. 9 Abs. 2 lit. g) DSGVO Gebrauch. Besondere Kategorien personenbezogener Daten sollen in Zukunft auch dann verarbeitet werden dürfen, wenn dies aus Gründen eines „erheblichen öffentlichen Interesses“ erforderlich ist. Zu diesen erheblichen öffentlichen Interessen zählt das BMI etwa die Verarbeitung geometrischer Daten zu Zwecken der eindeutigen Identifikation einer Person (§ 5 Abs. 1 Nr. 1 ABDSG).

Zweckändernde Verarbeitung
In § 6 ABDSG schafft das BMI die Möglichkeit, personenbezogene Daten für einen anderen und auch mit dem Zweck der Erhebung unvereinbaren Zweck weiterzuverarbeiten. Diese Möglichkeit bietet Art. 6 Abs. 4 DSGVO. Die Regelung gilt sowohl für öffentliche als auch nicht-öffentliche Stellen. Man Meinungsbereich des § 6 dürfen auch besondere Kategorien personenbezogener Daten für andere und unvereinbare Zwecke weiterverarbeitet werden.

Beschränkungen der Betroffenenrechte
In den §§ 7 – 13 ABDSG macht das BMI von der Möglichkeit des Art. 23 DSGVO Gebrauch, dass in engen Grenzen die Betroffenenrechte beschränkt werden können. Nach § 7 Abs. 2 ABDSG wird die Informationspflicht des Verantwortlichen im Fall einer Weiterverarbeitung der Daten für andere Zwecke (Art. 13 Abs. 3 DSGVO) beschränkt. Soweit die Erteilung der Information einen unverhältnismäßigen Aufwand erfordern würde, muss der Verantwortliche nicht über diesen anderen Zweck informieren. Jedoch muss der verantwortliche in diesem Fall dafür sorgen, dass geeignete Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person ergriffen werden. Hierzu zählt insbesondere die Bereitstellung der Informationen über die anderen Zwecke für die Öffentlichkeit, was etwa durch Informationen auf einer Webseite erfolgen kann.

Nach § 7 Abs. 3 ABDSG schränkt die allgemeine Informationspflicht nach Art. 13 DSGVO für Fälle der Videoüberwachung öffentlich zugänglicher Räume ein. In diesem Fall muss aber der Umstand der Beobachtung (etwa durch ein Hinweisschild) erkennbar sein.

In § 9 ABDSG wird das Auskunftsrecht der Betroffenen beschränkt. Nach § 9 Abs. 2 lit. d) ABDSG besteht das Recht auf Auskunft und Erhalt einer Kopie nach Art. 15 DS GVO nicht, wenn die gespeicherten Daten ausschließlichen (!) Zwecken der Datensicherung oder der Datenschutzkontrolle dienen. Zudem müsse die Erteilung der Auskunft einen unverhältnismäßigen Aufwand erfordern.

Interessant ist auch die Ausnahme nach § 9 Abs. 2 lit. e) ABDSG, wonach das Auskunftsrecht dann nicht besteht, wenn die Benachrichtigung die Geschäftszwecke des Verantwortlichen erheblich gefährden würde.
Das Recht auf Löschung von Daten (Art. 17 DSGVO) soll nach § 10 Abs. 2 ABDSG dann nicht bestehen, wenn die Löschung aufgrund der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigen Aufwand möglich ist. Diese Beschränkung, so der Entwurf des BMI, dient dem Schutz der Rechte und Freiheiten anderer Personen (Art. 23 Abs. 1 lit. i) DSGVO).

Nach § 12 Abs. 2 ABDSG darf eine Einzelentscheidung, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet und die ausschließlich auf einer automatisierten Verarbeitung beruht, auch über die in Art. 22 Abs. 2 DSGVO vorgesehenen Ausnahmen dann erfolgen, wenn diese Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages oder eines sonstigen Rechtsgeschäfts (hier geht des ABDSG über die Ausnahme des Art. 22 Abs. 2 lit. a) DSGVO hinaus) zwischen der betroffenen Person und dem Verantwortlichen ergeht und dem Begehren der betroffenen Person stattgegeben wird. Die Entscheidung (bzw. die ihr zugrundeliegende Verarbeitung) muss also nicht für die Erfüllung des Vertrages oder Rechtsgeschäftes erforderlich sein.

Datenschutzbeauftragter
§ 14 ABDSG sieht, über die Vorgaben der DS GVO hinausgehend, vor, wann zwingend ein Datenschutzbeauftragter zu bestellen ist. Insbesondere soll dies der Fall sein, wenn in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Klagerecht gegen Privacy Shield & Co.
Nachdem bereits vor einigen Monaten der Bundesrat ein neues Klagerecht für Aufsichtsbehörden gegen Angemessenheitsentscheidung der Europäischen Kommission für das Schutzniveau personenbezogener Daten in Drittstaaten gefordert hatte, wird dieses neue Klagerecht nun in § 28 ABDSG aufgenommen. Jedoch mit ein paar inhaltlichen Abweichungen zu dem ursprünglichen Vorschlag im Bundesrat.

Aufsichtsbehörden können danach bei der Prüfung eine Beschwerde einer betroffenen Person gegen eine Angemessenheitsentscheidung (wie jetzt zum Privacy Shield) im Wege einer Feststellungsklage vor das Bundesverwaltungsgericht ziehen. Interessant ist, welchen Inhalt der Antrag auf Feststellung haben soll. Der Antrag soll darauf lauten festzustellen, dass das Bundesverwaltungsgericht „die Zweifel der Aufsichtsbehörde an der Gültigkeit eines zur Rechtfertigung der Übermittlung angewendeten Angemessenheitsbeschlusses der Kommission teilt“. Der ursprüngliche Gesetzesvorschlag für einen neuen § 38b BDSG sah noch die Feststellung einer Ungültigkeit der Angemessenheitsentscheidung der Kommission vor. Die Ungültigkeit eines EU Rechtsaktes kann ein nationales Gericht jedoch gerade nicht feststellen. Hierauf hatte ich auch im Rahmen eines Blogbeitrages zu dem damaligen Gesetzesvorschlag hingewiesen.

Vertretung im Europäischen Datenschutzausschuss
Ausführlich regelt der Entwurf für das ABDSG zudem das Verfahren der Vertretung der deutschen Datenschutzbehörden im Europäischen Datenschutzausschuss (Kapitel 6). Grundsätzlich soll hier der oder die Bundesbeauftragte für den Datenschutz der gemeinsame Vertreter der deutschen Behörden sein. Zusätzlich stellen die Landesbehörden jedoch einen Stellvertreter. Dieser wird vom Bundesrat gewählt. Je nach der im europäischen Datenschutzausschuss beratenen Angelegenheit muss dann der gemeinsame Vertreter die Verhandlungsführung und das Stimmrecht im Europäischen Datenschutzausschuss auf den Vertreter der Landesbehörden übertragen.

Des Weiteren wird ausführlich das Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder geregelt.

Beschäftigtendatenschutz
In § 33 ABDSG enthält der Referentenentwurf auch eine Vorschrift zur Datenverarbeitung im Beschäftigungskontext. Hier gibt es jedoch keine Überraschungen. Zitat aus der Entwurfsbegründung: „Absätze 1 bis 3 entsprechen § 32 Bundesdatenschutzgesetz.“

TMG
In dem Entwurf des ABDSG finden sich keine Regelungen zur Datenverarbeitung im Bereich der Telemedien. Man darf gespannt sein, ob hier eventuell noch das Bundeswirtschaftsministerium entsprechende Vorschläge unterbreitet. Da jedoch ohnehin fast alle Regelungen des TMG zum Datenschutz nicht auf einer Umsetzung der sogenannten ePrivacy-Richtlinie beruhen, werden die entsprechenden Vorschriften ab dem vom 25. Mai 2018 nicht mehr anwendbar sein.

Konzerninterne Datentransfers: Hessische Aufsichtsbehörde verweist auf gesetzliche Erlaubnisnormen

Am 11.7.2016 hat der hessische Datenschutzbeauftragte seinen 44. Tätigkeitsbericht vorgestellt (pdf).

Unter anderem befasst sich der Datenschutzbeauftragte in seinem Bericht auch mit der Frage, unter welchen rechtlichen Voraussetzungen personenbezogene Daten von Arbeitnehmern in einem Konzern zwischen Unternehmen übermittelt werden dürfen. Bekanntermaßen kennt das deutsche Datenschutzrecht kein Konzernprivileg. Liegt also kein Fall der Auftragsdatenverarbeitung vor und werden personenbezogene Daten an eine andere verantwortliche Stelle im selben Konzern weitergegeben, so liegt datenschutzrechtlich betrachtet eine rechtfertigungsbedürftige „Übermittlung“ vor.

§ 32 BDSG

Der hessische Datenschutzbeauftragte weist darauf hin, dass als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten insbesondere § 32 Abs. 1 Satz 1 BDSG in Betracht kommt. Diese Bestimmung setzt voraus, dass die Verarbeitung (im konkreten Fall die Übermittlung der Daten) für die Durchführung des Beschäftigungsverhältnisses „erforderlich ist“.

In der Praxis stellt sich dann freilich die Frage, wann von einer Erforderlichkeit der Verarbeitung auszugehen ist. Diesbezüglich verweist der Datenschutzbeauftragte auf den Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ vom 11.01.2005. Zum einen sei von der Erforderlichkeit auszugehen, sofern der Arbeitsvertrag einen bei Vertragsabschluss für den Betroffenen erkennbaren Konzernbezug aufweist, wenn er also z. B. ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht. Zum anderen sei die Erforderlichkeit auch vorhanden, wenn bei der Einstellung des Arbeitnehmers deutlich erkennbar ist, dass die Personaldatenverarbeitung in einem anderen Konzernunternehmen zentralisiert ist. Wenn das Unternehmen dann noch entsprechend den Vorgaben des § 4 Abs. 3 BDSG über die Identität der verantwortlichen Stelle, die Zwecke der Verarbeitung sowie die Kategorien der Empfänger der Daten informiert, ist dies nach Auffassung des Datenschutzbeauftragten ausreichend, um die Datenübermittlung nach § 32 Abs. 1 Satz 1 BDSG zu legitimieren.

Dauerproblem: Einwilligung

In dem im Tätigkeitsbericht beschriebenen konkreten Fall trat der Umstand hinzu, dass der Arbeitgeber ursprünglich eine Einwilligung der Arbeitnehmer für die Übermittlung einholte. Zwar gesteht der hessische Datenschutzbeauftragte zu, dass auch die Einwilligung eine Grundlage für die konzerninterne Datenübermittlung darstellen kann. Jedoch führt er weiter aus:

Aufgrund des wirtschaftlichen Ungleichgewichts und der existentiellen Bedeutung des Beschäftigungsverhältnisses wird im Allgemeinen jedoch bezweifelt, dass auf Seiten der Beschäftigten die Einwilligung freiwillig erteilt werden kann.

Zwar ist es richtig, dass gerade in einem Beschäftigungsverhältnis möglicherweise ein Ungleichgewicht vorherrscht. Eventuell kann es dann auch an der Freiwilligkeit einer Einwilligung fehlen. Jedoch davon auszugehen, dass „im Allgemeinen“ bezweifelt werde, dass die Einwilligung von Beschäftigten nicht freiwillig erteilt werden könne, erscheint nicht angebracht. Es dürfte sich hierbei vielmehr um eine (von mindestens zwei) vertretene Ansicht handeln. Auch im Arbeitsverhältnis kann grundsätzlcih eine datenschutzrechtliche Einwilligung wirksam eingeholt werden. Im Jahr 2015 (Urteil vom 11.12.2014, 8 AZR 1010/13) hat dies auch das Bundesarbeitsgericht vertreten:

Auch im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen.

Und unter der Datenschutz-Grundverordnung?

Auch die ab  dem 25. Mai 2018 anwendbare Datenschutz-Grundverordnung wird kein ausdrückliches Konzernprivileg kennen. Jedoch wird in Erwägungsgrund 48 S. 1 klargestellt, dass Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Die europäische Datenschutz-Grundverordnung macht damit deutlich, dass eine konzerninterne Übermittlung von Beschäftigtendaten und auch Kundendaten als berechtigtes Interesse des Verantwortlichen angesehen werden kann und damit die Voraussetzungen des Erlaubnistatbestandes nach Art. 6 Abs. 1 lit. f) erfüllt sein können.

PrivacyShield: Doppelte Pflichten für US-Unternehmen ab Mai 2018?

Heute gab die Europäische Kommission bekannt, dass der sogenannte Artikel 31 Ausschuss (Vertreter der europäischen Mitgliedstaaten) den überarbeiteten Entwurf des EU-US Privacy Shield abgesegnet hat (4 Mitgliedstaaten haben sich jedoch wohl bei der Abstimmung enthalten). Nun muss nur noch die Europäische Kommission insgesamt den erforderlichen Angemessenheitsbeschluss fassen. Dies soll wohl Anfang kommender Woche geschehen. Eine für Montag angesetzte Aussprache bzw. Diskussion im LIBE-Ausschuss des europäischen Parlaments wird keine inhaltlichen Änderungen zur Folge haben.

Wie der finale Text nun konkret aussieht, wissen wir leider noch nicht. Spiegel Online veröffentlichte zumindest einen überarbeiteten Entwurf am 30. Juni 2016 (pdf). Eventuell handelt es sich hierbei auch um die finale Fassung.

Die Regelungen des Privacy Shield, also insbesondere die Grundsätze (Principles), müssen von US-amerikanischen Unternehmen eingehalten werden, wenn sie entweder als verantwortliche Stelle oder auch als Auftragsverarbeiter handeln und Person bezogenen Daten aus der Europäischen Union erhalten und verarbeiten.

Der Angemessenheitsbeschluss der Europäischen Kommission wird eine Übermittlung personenbezogener Daten an US-Unternehmen insoweit legitimieren, als es um die Frage des angemessenen Schutzniveaus in den USA geht (Art. 25 Abs. 6 Richtlinie 95/46/EG). Daneben ist zu beachten, dass die verantwortliche Stelle in Europa noch dafür Sorge zu tragen hat, dass die Datenverarbeitung in Form der Übermittlung selbst auch zulässig ist. Hierfür bedarf es also etwa eine Einwilligung, eines Vertrages mit der betroffenen Person oder aber berechtigte Interessen der verantwortlichen Stelle und keine entgegenstehenden schutzwürdigen Interessen der betroffenen Person.

Bei einer ersten Sichtung des Privacy Shield hat sich mir die Frage gestellt, was denn aus Sicht der amerikanischen Unternehmen ab dem vom 25. Mai 2018 zu beachten ist: die Grundsätze des Privacy Shield oder aber die gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO)? Oder vielleicht sogar beide Instrumente und in diesen enthaltende Verpflichtungen parallel?

Nach Art 3 Abs. 2 DSGVO findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten. Wichtig bereits hier der Hinweis: auch ein Auftragsverarbeiter in einem Drittstaat muss sich also an die Vorgaben der DSGVO halten, wenn die Voraussetzungen von Art. 3 Abs. 3 DSGVO erfüllt sind. Zu denken ist etwa an ein Unternehmen, welches Clouddienste oder andere Onlinedienste direkt gegenüber Personen in der Union, im Auftrag eines Verantwortlichen in der EU, erbringt. Genauso kann eine Dienstleistung auch durch einen Verantwortlichen angeboten werden, der dies etwa gemeinschaftlich mit einem weiteren Verantwortlichen in der Union gestaltet und von diesem EU-Verantwortlichen personenbezogene Daten erhält.

Nach Erwägungsgrund 15 S. 2 des Privacy Shield sind die Grundsätze aber ausdrücklich nur auf die Verarbeitung personenbezogener Daten anwendbar, soweit die Verarbeitung nicht in den Anwendungsbereich des Unionsrechts fällt. Also etwa in dem oben erdachten Beispiel. Was bedeutet dies nun? Gilt für einen Auftragsverarbeiter oder Verantwortlichen in den USA dann allein die DSGVO? Oder eventuell doch auch parallel die Grundsätze des Privacy Shield? So könnte man evntuell Erwägungsgrund 15 S. 3 verstehen, nach dem das Privacy Shield keinen Einfluss auf die Anwendbarkeit von Unionsrecht hat, welches die Verarbeitung personenbezogener Daten in den Mitgliedstaaten regelt. Nach diesem Satz 3 ist die Anwendbarkeit des Privacy Shield zumindest nicht ausgeschlossen.

Mir scheinen die Vorgaben für US-Unternehmen hier in jedem Fall unklar zu sein. Wenn ein US-Unternehmen sich nicht an die Vorgaben des Privacy Shield halten würde, dann liefe es aber Gefahr, den „Angemessenheitsstatus“ zu verlieren und die Übermittlung aus der EU wäre eventuell unzulässig (zumindest soweit man sich auf das Privacy Shield beruft). Denn in einem Drittstaat befindet sich das Unternehmen ja die ganze Zeit, auch wenn es sich an die Vorgaben der DSGVO halten muss.

Dies ist nur ein erster Gedanke zu dem neuen Angemessenheitsbeschluss, dessen Anwendung und konkrete Umsetzung uns sicherlich in den nächsten Jahren noch beschäftigen wird.