Category Archives: Europa

Gutachten des Europäischen Parlaments: Voraussetzungen für eine zulässige Vorratsdatenspeicherung

Posted on by

Wie geht es weiter mit einer Vorratsdatenspeicherung in Deutschland? Welche Möglichkeiten bestehen für den nationalen Gesetzgeber, neue Gesetze zu erlassen, nachdem der Gerichtshof der Europäischen Union (EuGH) im April 2014 die EU-Richtlinie zur Vorratsdatenspeicherung für unwirksam erklärt hat (C 293/12)? Ist eine nationale „VDS“ überhaupt möglich?

Antworten auf einige dieser Fragen versucht ein Gutachten des juristischen Dienstes des Europäischen Parlaments aus dem Dezember 2014 (PDF) zu geben. Das Gutachten wurde aufgrund von mehreren Fragen des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) verfasst. Das Gutachten hat einen Umfang von 27 Seiten und soll hier nicht in Gänze besprochen werden. Nachfolgend nur zu einigen, gerade aus der Sicht des deutschen Gesetzgebers relevanten, Aussagen.

Vorschriften zur Speicherung von Daten bei der Nutzung öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat fallen in den Anwendungsbereich von Art. 15 Abs. 1 der RL 2002/58/EG (in der Fassung der RL 2009/136/EG, PDF) und müssen zunächst die gesetzlichen Vorgaben dieser Vorschrift erfüllen. Ein durch gesetzliche Vorschriften zur Speicherung von Daten stattfindender Eingriff in die Rechte der Betroffenen ist danach dann erlaubt,

sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist.

Zudem setzen nationale Vorschriften, die sich auf die Erlaubnis des Art. 15 Abs. 1 der RL 2002/58/EG stützen, europäisches Recht um. Als Folge müssen sich die nationalen Regelungen an den Vorgaben der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF) messen lassen. Insbesondere Art. 7 (Achtung des Privat- und Familienlebens) und 8 (Schutz personenbezogener Daten) sowie Art. 52 Abs. 1 (Tragweite und Auslegung der Rechte und Grundsätze) der EU-Charta sind insofern durch den nationalen Gesetzgeber zu beachten. Bei der Auslegung dieser Artikel ist dann auch das Urteil des EuGH zur Unwirksamkeit der Richtlinie zur Vorratsdatenspeicherung und sind die konkreten Vorgaben des Gerichtshofs zu beachten. Hierzu gehören insbesondere:

  • klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und
  • Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen und
  • Bestimmungen zu entwickeln, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Das Gutachten des juristischen Dienstes geht jedoch nicht davon aus, dass nationale Regelungen zur Vorrastdatenspeicherung per se unzulässig wären. Die Verfasser gehen ausdrücklich davon aus, dass bestehende Regelungen zur Vorratsdatenspeicherung durchaus beibehalten werden können, wenn sie denn die Vorgaben der jeweiligen europäischen Richtlinie und der EU-Charta (unter Berücksichtigung der Auslegung durch den EuGH) erfüllen.

Das Gutachten geht zudem auf die Frage ein, inwieweit das Urteil sowohl bestehende internationale Abkommen zum Datenaustausch oder zur Datenspeicherung berührt und wie die Vorgaben des EuGH bei sich derzeit in Verhandlung befindenden Gesetzesvorhaben (Stichwort „Fluggastdaten“) zu berücksichtigen sind. Das Gutachten ist durchaus lesenswert und zeigt außerdem interessante Parallelen zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte auf.

Bayerischer Datenschützer: Keine Aussetzungen unter Safe Harbor; erhöhtes Bußgeld bei Browser-Fingerprinting

Posted on by

Heute hat der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013 und 2014 vorgelegt. Das BayLDA ist zuständig für die Überwachung der Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern. Der Tätigkeitsbericht ist daher auf den Bereich des Datenschutzes in der Privatwirtschaft beschränkt. Die Ausführungen in dem Bericht sind für datenschutzrechtlich Interessierte sicherlich lesenswert und geben verantwortlichen Stellen in Bayern einen praxisnahen „Leitfaden“ an die Hand, wie die für sie zuständige Behörde das Datenschutzrecht durchsetzt. Nachfolgend zu einigen in dem Bericht behandelten Themen.

Safe Harbor: Keine Aussetzungen von Datentransfers
Bekanntlich sind vor allem die deutschen Datenschutzbehörden von dem Instrument „Safe Harbor“ als Grundlage für Übermittlungen personenbezogener Daten in die USA nicht überzeugt. Erst letzte Woche wurde eine Entschließung der deutschen Behörden veröffentlicht, nach der die

Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA entfaltet.

Das BayLDA schlägt hier in seinem Tätigkeitsbericht etwas pragmatischere (und meiner Ansicht nach die richtigen) Töne an. Die betreffende Entscheidung der Kommission (2000/520/EG vom 26.07.2000) ist nämlich nach dem Tätigkeitsbericht gegenwärtig nach wie vor in Kraft und für die Datenschutzbehörden der Mitgliedstaaten bindend (Art. 25 Abs. 6 Satz 2 der geltenden Datenschutzrichtlinie 95/46/EG). Das BayLDA weiter:

Auch wenn gerade die deutschen Datenschutzbehörden bereits mehrfach Kritik an der praktischen Umsetzung des Safe-Harbor-Systems geäußert haben, ist die Safe-Harbor-Kommissionsentscheidung auch für sie bindend. Damit ist nach wie vor davon auszugehen, dass US-Unternehmen, die eine aktuelle gültige Safe-Harbor-Zertifizierung besitzen, jedenfalls grundsätzlich ein „angemessenes Datenschutzniveau“ im Sinne von § 4b BDSG aufweisen. (S. 105)

Richtigerweise geht das BayLDA daher davon aus, dass personenbezogene Daten aus Deutschland an US-Unternehmen mit gültiger Safe Harbor-Zertifizierung übermittelt werden dürfen, vorausgesetzt die Datenübermittlung selbst ist ebenfalls gerechtfertigt (etwa durch eine Einwilligung oder auf der Grundlage eines Vertrages). Für deutsche Behörden besteht nach Art. 3 Abs. 1 Satz 1 Buchstabe b der Safe Harbor-Entscheidung die Möglichkeit, einzelne Datenübermittlungen an Safe Harbor-zertifizierte US-Unternehmen u. a. aussetzen. Safe Harbor selbst kann jedoch nur von der EU-Kommission abgeändert oder aufgehoben werden. Erforderlich für die Untersagung einzelner Datentransfers ist, dass „eine hohe Wahrscheinlichkeit besteht, dass die (Safe Harbor-Datenschutz-)Grundsätze verletzt werden“. Auf Grundlage dieser Gegebenheiten hat das BayLDA bislang jedoch keine Maßnahmen zur Aussetzung von Transfers personenbezogener Daten durch Unternehmen aus Bayern in die USA eingeleitet und es sind derzeit keine entsprechenden Maßnahmen vorgesehen.

Browser-Fingerprinting: Erhöhtes Bußgeld bei rechtswidriger Datenverarbeitung
Ein anderes Thema in dem wirklich lesenswerten Bericht ist das Tracking mit sog. „fortgeschrittenen Webtechnologien“ (ab S. 57). Zunächst werden einige Tracking-Technologien vorgestellt (u.a. Flash-Cookies; Canvas-Fingerprinting; Browser-Fingerprinting). Nach Ansicht des BayLDA ermöglicht der Einsatz dieser Trackingmethoden, dass der Browser eines Webseitenbesuchers mit sehr hoher Wahrscheinlichkeit eindeutig bestimmt werden kann. Dies auch dann, wenn der Nutzer das Setzen von herkömmlichen Cookies auf seinem PC ablehnt. Das BayLDA weist dann auf die Voraussetzungen des § 15 Abs. 3 TMG hin, wonach das Erstellen von Nutzungsprofilen unter Pseudonym zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien rechtlich zulässig ist, wenn ein Nutzer einem solchen Profil nicht widerspricht. Das BayLDA geht folglich grundsätzlich von der Möglichkeit eines rechtlich zulässigen Einsatzes der oben benannten Trackingmethoden auf der Grundlage von § 15 Abs. 3 TMG aus. Einschränkend fügt die Behörde jedoch hinzu, dass die Nutzer freilich auf ihr Widerspruchsrecht und auf die Datenverarbeitung an sich hinzuweisen sind. Nach Ansicht des BayLDA

gestaltet sich die praktische Umsetzung dieser gesetzlichen Anforderung jedoch oftmals als nicht ausreichend.

Häufig würden die Informationen nämlich nicht transparent und auch nicht verständlich dargestellt werden. Für die Praxis besonders wichtig ist in diesem Zusammenhang der Hinweis der Behörde, dass (im Fall der mangelnden Umsetzung der gesetzlichen Vorgaben) das Risiko eines Bußgeldes insofern erhöht wäre, da das BayLDA

den ordnungswidrigen Einsatz von Verfahren, mit denen die Nutzereinstellungen zum Schutz vor einer Nutzungsprofilbildung gezielt ausgehebelt werden, verstärkt mit Bußgeldern ahnden.

Der Tätigkeitsbericht befasst sich mit vielen weiteren Thematiken: von Fragen um den betrieblichen Datenschutzbeauftragen (was ist etwa bei einer längeren, krankheitsbedingten Abwesenheit zu tun?), über die Auftragsdatenverarbeitung und Werbung sowie Adresshandel wird eine bunte Palette an Themen behandelt.

Abmahnung bei Datenschutzverstößen: Bundesrat nimmt Stellung und will noch mehr (Update)

Posted on by

Am 4. Februar 2015 hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Ich berichtete hierzu im Blog. Im Rahmen des ordentlichen Gesetzgebungsverfahrens, hat sich nun auch der Bundesrat mit dem Gesetzesentwurf zu befassen und wird auf seiner nächsten Sitzung am 27. März 2015 über die eigenen Empfehlungen hierzu beraten.

Die Empfehlungen des federführenden Rechtsausschusses, des Ausschusses für Agrarpolitik und Verbraucherschutz, des Ausschuss für Innere Angelegenheiten und des Wirtschaftsausschusses wurden nun veröffentlicht (BR-Drs. 55/1/15, PDF) und bergen einige Überraschungen. Das Dokument enthält die Vorschläge jedes Ausschusses und es werden nicht alle dort aufgeführten Vorschläge in die finale Stellungnahme des Bundesrates aufgenommen, da sich die Vorschläge teilweise auch ausschließen. Dennoch möchte ich nachfolgend auf einige der Empfehlungen der Ausschüsse eingehen, gerade weil auch völlig neue Vorschläge gemacht werden.

Kein genereller Anspruch auf Beseitigung
Der Wirtschaftsausschuss gibt zu bedenken (Ziff. 5), dass bislang kein Bedarf für einen Beseitigungsanspruch im Unterlassungsklagengesetz (UKlag) gesehen wurde und dieser nun im Rahmen des Gesetzesentwurfs neu eingeführt werden soll. Sollte der Beseitigungsanspruch generell und nicht nur spezifisch für Verstöße gegen das Datenschutzrecht eingeführt werden, bestünde vielmehr die Gefahr, dass die Unternehmen in diesem Bereich weitgehenden Forderungen ausgesetzt werden, deren finanzieller und organisatorischer Aufwand in keinem Verhältnis zu der begangenen Verletzung des Verbraucherschutzes stünden.

Erweiterung des Verletzungstatbestandes in § 2 Abs. 2 S. 1 Nr. 11 UKlaG
Der Ausschuss für Agrarpolitik und Verbraucherschutz schlägt vor (Ziff. 6), den Wortlaut der vorgeschlagenen Nr. 11 auf jenen des ursprünglichen Referentenentwurfs zu ändern und damit zu erweitern. Es soll dann heißen:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Dem Ausschuss für Verbraucherschutz ist dabei ein Dorn im Auge, dass der Gesetzesentwurf der Bundesregierung den Anwendungsbereich der Nr. 11 grundsätzlich auf Vorschriften beschränkt, „welche die Zulässigkeit regeln“. Zur Begründung führt der Ausschuss aus, dass insbesondere Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung nach den §§ 33, 34 und 35 Bundesdatenschutzgesetz (BDSG) erfasst werden sollten. Auch die Beschränkung der vorgeschlagenen Nr. 11 auf Datenverarbeitungen zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken kritisiert der Ausschuss.

Im Ergebnis strebt man hier also erneut jene unbestimmte Ausweitung der Vorschrift an, die bereits nach Veröffentlichung des Referentenentwurfs kritisiert und im Gesetzesentwurf folgerichtig nicht übernommen wurde.

Dieser Vorschlag des Ausschusses für Verbraucherschutz konkurriert mit einem Vorschlag des Ausschuss für Wirtschaft (Ziff. 7), der darum bittet, im weiteren Gesetzgebungsverfahren zu prüfen, wie die datenschutzrechtlichen Vorschriften, die für eine Verbandsklage in Betracht kommen sollen, konkretisiert und weiter eingegrenzt werden können. Der im Gesetzesentwurf verwendete Begriff der „vergleichbaren kommerziellen Zwecke“ erscheint nämlich zu weitgehend. Denn haben Unternehmen Kontakt mit Verbrauchern, ist eigentlich per se von einer kommerziellen Verarbeitung von Daten auszugehen. Wäre dann also praktisch jede Datenverarbeitung eines Unternehmens mit Bezug zu einem Verbraucher eine solche für „vergleichbare kommerzielle Zwecke“? Der Anwendungsbereich ist für den Wirtschaftsausschuss damit unklar und stellt für die Unternehmen eine Rechtsunsicherheit dar.

Gefahr paralleler Rechtstreitigkeiten durch Verbraucherverbände und Datenschutzbehörden
Der Innen- als auch der Wirtschaftsausschuss (Ziff. 11) möchten im weiteren Gesetzgebungsverfahren die Pflicht für Gerichte zur Anhörung der zuständigen Datenschutzbehörde um eine Verpflichtung der anspruchsberechtigten Stellen ergänzen. Danach soll die zuständige Datenschutzaufsichtsbehörde bereits vor außergerichtlicher Geltendmachung oder vor Klageerhebung unterrichtet und angehört werden. Die Datenschutzbehörden besitzen schließ0lich auch einen gesetzlichen Beratungsauftrag, auch für Unternehmen (§ 38 Abs. 1 S. 2 BDSG). Dieser Beratungsauftrag sowie das Vertrauen von Unternehmen in die Verbindlichkeit von Aussagen der Datenschutzaufsichtsbehörden würden nach Ansicht der beiden Ausschüsse erheblich geschwächt, wenn Aufsichtsbehörden bei ihrer Beratungstätigkeit keine Kenntnis von etwaigen durch die Verbände eingeleiteten, gleich gelagerten Parallelverfahren hätten.

Neu: Einführung eines allgemeinen Koppelungsverbots im BDSG
Sowohl der Rechtsausschuss als auch der Innenausschuss (Ziff. 12) schlagen völlig unabhängig von dem ursprünglichen Gesetzesentwurf eine Anpassung des § 28 Abs. 3b BDSG vor. Es soll ein allgemeines Koppelungsverbots im Datenschutzrecht eingeführt werden. Derzeit sieht § 28 Abs. 3b BDSG noch vor, dass die verantwortliche Stelle den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen abhängig machen darf, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Der letzte Teil des Satzes soll nun jedoch gestrichen werden: „Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen.“

Die mit diesem Vorschlag für die Einführung eines allgemeinen Koppelungsverbots verbundene Einschränkung der Vertragsgestaltungsfreiheit der Unternehmen erscheint für die Ausschüsse gerechtfertigt. Der Vorschlag zur entsprechenden Anpassung des BDSG ist jedoch nicht neu. Bereits im Rahmen der letzten BDSG-Novelle wurde ein solches allgemeines Kopplungsverbot durch den Bundesrat vorgeschlagen (BR-Drs. 4/09), jedoch am Ende nicht in das Gesetz aufgenommen.

Neu: Auskunftsrecht für Betroffene von Persönlichkeitsrechtsverletzungen
Der Rechtsausschuss schlägt zudem apart von den Anpassungen des Gesetzesentwurfs vor (Ziff. 15), dass im weiteren Gesetzgebungsverfahren geprüft werden möge, ob zur Umsetzung der Rechtsprechung des Bundesgerichtshofs (BGH) vom 1. Juli 2014 (Az. VI ZR 345/13) eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Persönlichkeitsrechtsverletzers erlangen kann. Der BGH hatte in diesem Urteil entschieden, dass ein Geschädigter mangels datenschutzrechtlicher Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG keinen Anspruch gegenüber einem Online-Bewertungsportal auf Auskunft über Namen und Anschrift desjenigen Nutzers habe, der in dem Portal unwahre und damit unzulässige Tatsachenbehauptungen über ihn aufstellt (hierzu der Kollege Thomas Stadler in seinem Blog). Der Portalbetreiber als Dienstanbieter i. S. d. TMG ist nach der Rechtsprechung daher nicht befugt, ohne die Einwilligung des Nutzers Auskünfte über dessen personenbezogene Daten zu erteilen. Für den Rechtsausschuss ist das Fehlen des Auskunftsanspruchs bedenklich und stellt eine Regelungslücke dar, welche durch den Gesetzgeber geschlossen werden muss.

Fazit
Die Ausschüsse im Bundesrat scheinen den Gesetzesentwurf genutzt zu haben, um nicht nur an dem Entwurf selbst inhaltlich Anpassungen vorzuschlagen, sondern auch noch weitere datenschutzrechtliche Themen, die eventuell schon etwas länger auf der gesetzgeberischen To-Do-Liste stehen, in das Gesetzgebungsverfahren einzuführen. Ob ein solches Vorgehen, unabhängig von der inhaltlichen Diskussion, in jeder Hinsicht begrüßenswert erscheint, mag man positiv oder negativ beantworten. Innenminister de Maizère hat erst letzte Woche angekündigt, dass man die Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) bis Juni im Rat abschließen möchte, um dann die Verhandlungen mit dem Parlament und der Kommission aufzunehmen. Wenn dann etwa im Jahre 2015 die Datenschutz-Grundverordnung verbindliches Recht in Europa wird, so müssen sich deutsche Regelungen zum Datenschutz an diesen Vorgaben messen lassen und werden aufgrund des Vorrangs des EU-Rechts im Zweifel unwirksam sein. Auch in der DS-GVO soll es etwa Vorgaben für ein Verbandsklagerecht von Verbraucherorganisationen geben. Die genauen Voraussetzungen und die Reichweite des Klagerechts ist derzeit aber noch umstritten. Bestehende deutsche Regelungen, die nun auf die schnelle noch ins Gesetz gegossen werden, würden dann jedoch ihre Wirksamkeit verlieren. Man würde also gesetzliche Vorgaben mit bereits jetzt bekannter Haltbarkeit schaffen. Der Sinn hinter einem solchen Vorgehen erschließt sich mir nicht unbedingt.

Update vom 27.3.2015:
Heute hat der Bundesrat über die oben erwähnten Ausschussempfehlungen abgestimmt. In der angenommenen Stellungnahme des Bundesrates (BR-Drs. 55/15(B)) sind die von mir oben angesprochenen Änderungswünsche, insbesondere die „Rückkehr“ zum Referentenentuwrf, das Kopplungsverbot und der Vorschlag zur Einführung eines Auskunftsanspruchs im TMG, enthalten. Es bleibt abzuwarten, wie und ob die vom Bundesrat vorgeschlagenen Änderungen im weiteren Gesetzgebungsverfahren Bestand haben werden.

Empfehlung im Bundesrat: Mehr Einsatz für den Schutz von Beschäftigtendaten

Posted on by

Am 27. März 2015 wird der Bundesrat erneut tagen. Auf der Tagesordnung wird auch die Stellungnahme des Bundesrates zum Jahreswirtschaftsbericht 2015 der Bundesregierung (BT-Drs. 18/3840, PDF) stehen.

Der im Bundesrat für die Beratung zu dem Jahreswirtschaftsbericht 2015 federführend verantwortliche Wirtschaftsausschuss möchte dem Bundesrat empfehlen, dass sich die Bundesregierung in den Verhandlungen um die Datenschutz-Grundverordnung im Rat der Europäischen Union verstärkt für die Berücksichtigung der Belange der Arbeitnehmer in einer digitalisierten Arbeitswelt einzusetzen. Dies geht aus der Empfehlung des Wirtschaftsausschusses (BR-Drs. 31/1/15, PDF) vom 13. März 2015 hervor.

Danach empfiehlt der Ausschuss dem Bundesrat festzustellen, dass

mit einer stärkeren Digitalisierung das Potenzial für neue Arbeitsplätze in Industrie, Dienstleistung und Handel besteht.

Gleichzeitig weist die Empfehlung des Wirtschaftsausschusses jedoch auch auf Risiken einer verstärkten Digitalisierung des Arbeitsmarktes hin. Nach Ansicht der Verfasser der Empfehlung bestehen diese vor allem in einer Schwächung der betrieblichen Mitbestimmung und in einem Missbrauch von Beschäftigtendaten, der verhindert werden müsse.

Nach der Empfehlung des Wirtschaftsausschusses soll der Bundesrat die Bundesregierung in diesem Zusammenhang darum bitten,

sich darüber hinaus im Europäischen Rat für die Berücksichtigung der Belange im Rahmen der Beratung und Beschlussfassung hinsichtlich einer Datenschutz-Grundverordnung und der Gestaltung des Digitalen Binnenmarktes einzusetzen.

Die Datenschutzreform wird missbraucht – oder: Der Mythos Zweckbindung

Posted on by

In den letzten Tagen wurde in der Öffentlichkeit über einer Verwässerung des geplanten Datenschutzrechts und entsprechend negativ zu bewertende Änderungsvorschlage im Rat der Europäischen Union berichtet. Das schlimmste „Änderungswasser“ fließe vor allem aus deutschen Quelle.

Der Kollege Thomas Stadler hat nun bereits zweimal zu der derzeitigen Diskussion und meines Erachtens absolut verzerrenden Berichterstattung rund um die Verhandlungen zur Datenschutz-Grundverordnung geblogged und seine (meines Erachtens zu begrüßende) Kritik dargelegt: einmal hier und einmal dort . Ich selbst habe auf einen bisher im Prinzip gar nicht angesprochenen, aber für die Praxis immens wichtigen Änderungsantrag hingewiesen und wollte eigentlich nichts zu der allgemeinen Diskussion „gute Nation/böse Nation“ im Rat der Europäischen Union schreiben.
Jetzt möchte ich aber doch etwas inhaltliches(!) zu der Diskussion um die angebliche Abschaffung des Zweckbindungsgrundsatzes durch die Änderungsanträge im Rat schreiben. Mir geht es dabei gar nicht um die Diskussion, ob man den Zweckbindungsgrundsatz stärken oder abschwächen oder gar abschaffen möchte. Darüber kann und sollte man auf jeden Fall diskutieren. Mir geht es hierbei um eine schlicht falsche Darstellung der Zusammenhänge, vor allem mit Blick auf die aktuell geltende Rechtslage. Denn ich finde eine ausgewogene Berichterstattung, die den Anspruch hat, die Leser vollumfänglich zu informieren, darf bzw. sollte nicht tendenziös erfolgen. Also, nun mein kurzer Beitrag zu diesem fast schon als „Missbrauch“ zu bezeichnende tendenziös negative Berichtserstattung zur Datenschutzgrundverordnung und der Rolle Deutschlands.

Kennt die EU-Grundrechtecharta (PDF) den Zweckbindungsgrundsatz?

Ja. In Art. 8 Abs. 2 heißt es: „Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.“ (Hervorhebung durch mich)
Aber: hier wird eine Zweckänderung ja gerade nicht ausgeschlossen. Auch die Weiterverarbeitung erfolgt ja zu irgendeinem bestimmten Zweck. Klar, dieser ist dann ein anderer als jener der der Erhebung der Daten zugrunde lag. Aber er ist dennoch „festgelegt“. Damit ist Art. 8 Abs. 2 Genüge getan.

Kennt die aktuell geltende Datenschutz-Richtlinie das Verbot einer zweckändernden Verarbeitung?

Nein. Art. 6 Abs. 1 b) legt fest, dass personenbezogene Daten für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.

Zunächst einmal: der komplette zweite Halbsatz wäre überflüssig, wenn eine zweckändernde Weiterverarbeitung nicht zulässig wäre. Diese ist vielmehr gerade möglich. Die Weiterverarbeitung darf nicht in einer mit der Zweckbestimmung nicht zu vereinbarenden Weise erfolgen. Die „Weise“ ist aber etwas anderes als die reine Gegenüberstellung „ursprünglicher Zweck – neuer Zweck“. Es geht um die Umstände der Weiterverarbeitung. Dazu gehört auch der Zweck, aber auch Grundlage der Weiterverarbeitung oder getroffene Datensicherheitsmaßnahme (vgl. dazu auch die Stellungnahme von Sebastian Brüggemann und mir).

Verbietet das deutsche Datenschutzrecht eine zweckändernde Verarbeitung?

Nein, absolut nicht. § 28 Abs. 2 BDSG sieht vielmehr gerade die Möglichkeit der „Übermittlung oder Nutzung für einen anderen Zweck“ vor. Und dann auch noch nach § 28 Abs. 2 Nr. 2 BDSG „soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten“. Also, die Zweckänderung ist bereits derzeit(!) absolut zulässig und gesetzlich nicht etwa verboten (auch nicht wenn es um die Wahrung von Interessen Dritter geht), sondern gerade erlaubt.

Leider leider erwähnt diesen gesetzlichen Ist-Zustand in der öffentlichen Debatte und bei der Bewertung der Änderungsanträge der deutschen Delegation gegenüber den Lesern kaum jemand. Das ist wirklich schade. Denn nur so erhält man als nach Informationen suchender Leser ein Gesamtbild, oder? Die Datenschutzreform ist meines Erachtens für uns alle in Europa eine wirklich tolle Chance, ein Gesetz zum Umgang mit personenbezogenen Daten zu schaffen, das weltweite Standards setzen. Ja, wir sollten inhaltlich diskutieren. Bitte soviel wie möglich. Wir sollten den Datenschutz vorran bringen. Aber wir sollten die Reform nicht nutzen, um fundamentale Positionen völlig ab von der Realität zu zementieren.

Datenschutzreform: Konzerninterne Datentransfers sollen erleichtert werden

Posted on by

Der Rat der Europäischen Union und insbesondere die Ratsarbeitsgruppe, die sich mit der Reform des europäischen Datenschutzrechts befasst (Dapix), sind in diesen Tagen nicht zu beneiden. Nach der Veröffentlichung von Verhandlungsdokumenten (auf statewatch.org und edri.org zu finden) zu den neuesten Änderungen an dem Entwurf für eine Datenschutz-Grundverordnung, ging ein Kritikgewitter auf die Dapix nieder (u.a. bei heise online, futurezone.at und Tagesspiegel).

Ob die Kritik berechtigt ist oder nicht, möchte ich hier nicht näher untersuchen. Mir ist bei einem flüchtigen Blick auf eines der betreffenden Dokumente (Kapitel 2, (Englisch) PDF) vielmehr ein aus der Praxis positiv zu bewertender Änderungsantrag aus Deutschland ins Auge gestochen.

In einem neuen Erwägungsgrund 38a schlägt Deutschland vor, dass in Zukunft Datenübermittlungen innerhalb von Unternehmensgruppen bzw. eines Konzerns, grundsätzlich aufgrund eines berechtigten Interesses der Verantwortlichen Stelle erlaubt sein sollen. Voraussetzung ist unter anderem, dass die Übermittlung für verwaltungsinterne bzw. administrative Zwecke erfolgt.

Das Thema des sog. Konzernprivilegs (bzw. sein Fehlen im Datenschutzrecht) wäre mit dieser Änderung zumindest eingeschränkt erledigt. Derzeit müssen auch Datentransfers in einer Unternehmensgruppe auf eine Einwilligung oder einen gesetzlichen Erlaubnistatbestand gestützt werden. Es existiert kein Privileg des konzerninternen Datentransfers. Es handelt sich datenschutzrechtlich um eine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 BDSG. Der deutsche Vorschlag würde nun zwar einem Datentransfers nicht seine Natur einer Übermittlung nach dem Gesetz nehmen (daher meine Wortwahl des eingeschränkten Konzernprivilegs). Jedoch wäre diese Übermittlung in bestimmten Fällen von vornherein erlaubt.

Einen ähnlichen Vorschlag, jedoch nicht nur in der Form eines Erwägungsgrundes, sondern direkt als einen neuen Art. 22 Abs. 3a, hat auch das Europäische Parlament in seiner Entschließung zur Datenschutz-Grundverordnung im März 2014 gemacht.

Was letztendlich von diesem Vorschlag der deutschen Delegation im Rat übrig bleibt, muss man abwarten. Denn über diesen Änderungsantrag dürfte noch nicht in Gänze zwischen den Mitgliedstaaten diskutiert worden sein. Sollte es ein solcher Erwägungsgrund jedoch in die Verhandlungen zwischen Kommission, Parlament und Rat schaffen, so stünden die Chancen aufgrund des ähnlichen Vorschlags aus dem Parlament, bestimmt nicht schlecht, dass wir am Ende zumindest ein „eingeschränktes Konzernprivileg“ erhalten.

Besuch von EU-Datenschützern: Google stimmt Vor-Ort-Kontrollen in den USA zu

Posted on by

Am 20. Februar 2015 gab die italienische Datenschutzbehörde bekannt, dass man sich im Rahmen eines Prüfverfahrens der Datenschutzrichtlinie des Suchmaschinenbetreibers Google und der Verarbeitung von personenbezogenen Daten von Nutzern, auf verschiedene Umsetzungs- und Änderungsmaßnahmen geeinigt habe, die von der Behörde vorgeschlagen wurden.

Danach wird Google bis zum Januar 2016 unter anderem die Art und die Form seiner Datenschutzhinweise überarbeiten. Die Informationen darüber, wie Google personenbezogene Daten verarbeitet sollen noch deutlicher und klarer abgefasst werden. Zudem soll der Suchmaschinenbetreiber auch die Einwilligung von Nutzern einholen, wenn deren Verhalten über verschiedene angebotene Dienste hinweg in Profilen gespeichert werden soll. Auch bei der Speicherdauer von Kundendaten soll Google nach den Wünschen den italienischen Datenschützer nachbessern. Insbesondere soll es in Zukunft festgelegte Zeiträume geben, nach denen nicht mehr erforderliche Nutzerdaten und Backups gelöscht werden müssen.

Google hat den durch die italienische Behörde vorgegebenen Änderungsmaßnahmen zugestimmt und hat nun bis Januar 2016 Zeit, diese umzusetzen. Um den Fortgang der Maßnahmen zu prüfen, erhält die italienische Datenschutzbehörde das Recht, Vor-Ort-Kontrollen am Hauptsitz des Suchmaschinenbetreibers in Kalifornien durchzuführen. Nach den Informationen der Behörde, ist dieses Vorgehen und auch das Zugeständnis von Google, die italienischen Datenschützer am Hauptsitz in den USA die Kontrolle der Änderungen zu ermöglichen, eine Premiere im europäischen Datenschutzrecht.

Das Verfahren der italienischen Behörde steht im Zusammenhang mit einer breiter angelegten Prüfaktion verschiedener Datenschutzbehörden in ganz Europa. Diese begannen mit der Einführung der neuen Datenschutzerklärung beim Suchmaschinenbetreiber im Jahre 2012. Erst kürzlich einigte sich Google etwa auch mit der Datenschutzbehörde in England (hierzu mein Beitrag). In Deutschland läuft derzeit noch ein Verfahren beim Hamburgischen Beauftragten für den Datenschutz.

Bundesregierung: Gesundheits-Apps der Versicherungen nur mit Einwilligung möglich

Posted on by

Das Thema Gesundheitsdaten und Apps macht auch vor der deutschen Politik nicht halt. Letzte Woche hatte ich bereits berichtet, dass die europäischen Datenschützer kürzlich eine Stellungnahme zum Datenschutz bei Lifestyle-Apps und die Verarbeitung von Gesundheitsdaten veröffentlicht haben. Mobile Geräte und Apps auf solchen Geräten, um den eigenen Tagesablauf aufzuzeichnen, werden jedoch nicht unbedingt nur aus einem Fitness- oder Lifestyle-Gesichtspunkt angeschafft. Auch Versicherungsunternehmen sind an den so gesammelten Gesundheitsdaten interessiert, etwa um die Verträge und Tarife passgenauer auf ihre Kunden abstimmen zu können.

Eine nun veröffentlichten Antwort (PDF) der Bundesregierung auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag, setzt sich ebenfalls genauer mit der Frage des Datenschutzes bei Gesundheits-Apps und den Rechtsgrundlagen der Datenverarbeitung durch Versicherungen auseinander.

Die grundsätzliche Aussage der Bundesregierung:

Aus datenschutzrechtlicher Sicht ist die kontinuierliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten der Versicherten zu ihrem Gesundheitszustand durch private Krankenversicherungsunternehmen nur nach vorheriger ausdrücklicher Einwilligung der Versicherten zulässig.

Die Bundesregierung geht in ihrer Antwort noch etwas genauer auf die Anforderungen des hier einschlägigen § 4a Abs. 3 BDSG ein.

Bedarf für eine Gesetzesänderung sieht die Bundesregierung vor dem Hintergrund der laufenden Verhandlungen zur Datenschutz-Grundverordnung auf europäischer Ebene jedoch nicht. Man werde dort dafür eintreten, dass eine Einwilligung auch in Zukunft nur dann wirksam ist, wenn sie informiert und freiwillig erteilt wird. Darüber hinaus bestehe kein Bedarf, neue gesetzliche Regelungen zu treffen.

Interessant ist noch die Antwort der Bundesregierung auf die Frage, wie in Zukunft sichergestellt werden soll, dass Personen, die ein Angebot der Versicherungen zum Aufzeichnen ihrer Gesundheitsdaten über Apps bewusst nicht in Anspruch nehmen möchten, in der Folge nicht etwa höhere Versicherungsbeiträge zahlen müssen. Die Bundesregierung verweist darauf, dass § 203 des Versicherungsvertragsgesetzes (VVG) abschließend regele, unter welchen Voraussetzungen die Beiträge in der privaten Krankenversicherung erhöht werden können. Eine Weigerung von Betroffenen, an erweiterten Datensammlungen bezüglich ihrer Gesundheit und ihres Lebenswandels durch Apps oder andere mobile Anwendungen teilzunehmen, erfülle die Voraussetzungen des § 203 VVG nicht.

Auch weist die Bundesregierung darauf hin, dass es sich bei den so gesammelten Gesundheitsdaten um sehr persönliche und sensible Informationen handeln kann. Laut der Antwort haben daher die Versicherungsunternehmen sicherzustellen, dass Aspekte der Datensicherheit ausreichend berücksichtigt werden und die im § 9 BDSG vorgegebenen technischen und organisatorischen Maßnahmen (wie z. B. durch Verwendung eines dem aktuellen Stand der Technik entsprechenden Verschlüsselungsverfahrens) getroffen werden, um etwa zu vermeiden, dass durch Fehler oder kriminelle Energie personenbezogene Daten über das Versicherungsunternehmen hinaus verbreitet werden können.

Jedoch sieht die Bundesregierung nicht nur die Versicherungen in der Pflicht, wenn es um den Einsatz neuer Techniken und Methoden geht, Gesundheitsdaten zu sammeln und auszuwerten. Laut der Antwort geht die Regierung davon aus, dass

Versicherte sich der besonderen Bedeutung ihrer Daten zum persönlichen Lebenswandel und ihrem Gesundheitsverhalten bewusst sind und daher sorgsam und zurückhaltend mit der Weitergabe entsprechender Informationen umgehen.

Datenschutz und Lifestyle-Apps: Europäische Datenschützer fordern Schutz der Gesundheitsdaten

Posted on by

Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.

Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.

Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.

Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.

Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.

Gesetzliche Grundlage der Datenverarbeitung
Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.

Zu beachtende Datenschutzprinzipien
Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.

Verbandsklagerecht bei Datenschutzverstößen: Geplante Änderungen und offene Fragen

Posted on by

Gestern hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Nach der Gesetzesbegründung soll durch eine geplante Neuregelung des § 2 Abs. 2 UKlaG ausdrücklich geregelt werden, dass datenschutzrechtliche Vorschriften, welche die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln, Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 UKlaG sind (neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E). Als Folge können dann anspruchsberechtigte Stellen (§ 3 UKlaG), wie etwa Verbraucherschutzverbände, Unterlassungs- und (ebenfalls neu geplant) Beseitigungsansprüche gegen Unternehmen geltend machen, die gegen Datenschutzvorschriften verstoßen, welche eine Datenverarbeitung zu oben benannten Zwecken regeln.

Zwei wichtige Änderungen
Einen ersten Referentenentwurf des Bundesministeriums für Justiz und Verbraucherschutz hatte ich hier im Blog bereits im Juni 2014 veröffentlicht und umfassend besprochen.

Der nun verabschiedete Entwurf ist vor allem in zwei Punkten angepasst worden:

  • Die datenschutzrechtlichen Vorschriften, gegen die verstoßen werden muss, um anspruchsberechtigten Stellen eine Klagemöglichkeit zu eröffnen, wurden thematisch eingeschränkt. Ob diese Beschränkung ausreicht bzw. wie diese Beschränkung grundsätzlich zu beurteilen ist, kann man noch einmal vertiefter erörtern. Gerade der Begriff „zu vergleichbaren kommerziellen Zwecken“ dürfte aufgrund seiner Unschärfe in der Praxis auf erhebliche Anwendungsschwierigkeiten stoßen.
  • Zudem soll ein neuer § 12a UKlaG-E eingeführt werden, der die Beteiligung der zuständigen Landesdatenschutzbehörden sicherstellen soll. Das Gericht hat nach dem Entwurf vor einer Entscheidung in einem Verfahren über einen Anspruch nach § 2 UKlaG, das eine Zuwiderhandlung gegen ein Verbraucherschutzgesetz nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E zum Gegenstand hat, die zuständige inländische Datenschutzbehörde zu hören.

Konformität mit Europarecht
Ich möchte mich nachfolgend noch kurz einer möglichen Europarechtswidrigkeit des Gesetzesentwurfs widmen. Bereits in meinem Beitrag zu dem ersten Entwurf, habe ich hier Probleme mit der Vereinbarkeit europäischen Rechts gesehen. Die Begründung zum neuen Gesetzesentwurf sieht diesen mit europäischem Recht vereinbar. Insbesondere weißt die Gesetzesbegründung darauf hin, dass mit Blick auf die Datenschutzrichtlinie 95/46/EG der Europäische Gerichtshof zwar grundsätzlich von einer vollständigen Harmonisierung ausgehe. Dies beziehe sich allerdings nur auf das materielle Datenschutzrecht und nicht auf die Rechtsbehelfe und Sanktionen (Kapitel III). Der deutsche Gesetzgeber sieht konkret Kapitel III der Richtlinie 95/46/EG als nicht abschließend an. Die Mitgliedstaaten könnten daneben auch noch weitere Rechtsbehelfe zur Durchsetzung des Datenschutzrechts, insbesondere auch Verbandsklagen vorsehen.

Ob diese Ansicht zutreffend ist, möchte ich zumindest hinterfragen. So hat der Europäische Gerichtshof nämlich gerade mit Blick auf die benannten „Rechte“ und damit auch Rechtsbehelfe (also Instrumente, um diese Rechte durchzusetzen) ausdrücklich entscheiden (Urt. v. 6.11.2003, C-101/01, Rz. 95):

Wie sich insbesondere aus ihrer achten Begründungserwägung ergibt, bezweckt die Richtlinie 95/46, hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten ein gleichwertiges Schutzniveau herzustellen. (Hervorhebung durch mich)

Und weiter geht der EuGH darauf ein, dass Mitgliedstaaten durchaus in bestimmten Bereichen die Möglichkeit besitzen, besondere Regelungen zu schaffen. Jedoch stellt er auch klar (Rz. 97):

Von diesen Möglichkeiten muss aber in der in der Richtlinie 95/46 vorgesehenen Art und Weise und im Einklang mit ihrem Ziel Gebrauch gemacht werden“

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.

Und die Datenschutzrichtlinie sieht eben eine solche Möglichkeit für Mitgliedstaaten nicht vor. Nach Art. 22 Richtlinie 95/46/EG haben Betroffene auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der Richtlinie 95/46/EG aber gerade nicht aufgeführt und die Möglichkeit für Mitgliedstaaten, ein Verbandsklagerecht zu schaffen, ist nicht vorgesehen. Dass eine solche Möglichkeit über die Vorgaben der Richtlinie 95/46/EG hinausgeht, kann man meines Erachtens auch daraus ableiten, dass Art. 28 Abs. 4 Richtlinie 95/46/EG die Verbände ausdrücklich anspricht und ihre Tätigkeit regelt. Danach kann sich jede Person oder ein sie vertretender Verband sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Der Richtliniengeber hat also gerade nur einen Fall der Beteiligung von Verbänden geregelt und zwar jenen, dass diese Betroffene gegenüber einer Behörde vertreten. Nicht jedoch gegenüber einem Gericht.

Fazit
Man wird abwarten müssen, wie der Gesetzentwurf im ordentlichen Gesetzgebungsverfahren noch angepasst wird. Meines Erachtens bestehen jedoch nicht unbegründete Bedenken, dass hier eine Kollision mit europäischen Vorgaben existiert. Vielleicht muss diese Frage am Ende auch der Europäische Gerichtshof selbst entscheiden. Die Thematik an sich wird uns jedoch weiter beschäftigen, da die geplante Datenschutz-Grundverordnung ein Verbandsklagerecht vorsieht.