Justizministerium zweifelt an einheitlichem Datenschutzstandard in Europa

Die Europäische Kommission hat in einer Stellungnahme (abrufbar bei netzpolitik.org) den Gesetzesentwurf des Bundesministeriums für Justiz und Verbraucherschutz  (BMJV) zur „Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (PDF) inhaltlich bemängelt.

Die Kommission stört sich insbesondere an der in § 113b des Entwurfs vorgesehenen Pflicht, Vorratsdaten allein im Inland zu speichern:

dass der betreffende Entwurf einer Verordnung eine Verletzung von Artikel 56 AEUV sowie Artikel 1 Absatz 2 der Richtlinie 95/46/EG darstellen würde.

Art. 1 Abs. 2 der Richtlinie 95/46/EG (die geltende Datenschutzrichtlinie) gibt vor, dass Mitgliedstaaten nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des Schutzes der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten beschränken oder untersagen dürfen. Noch deutlicher ist die Vorgabe in Erwägungsgrund 9 der Datenschutzrichtlinie. Danach dürfen die Mitgliedstaaten aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen.

Die Pflicht zur Inlandsspeicherung in § 113b des Entwurfs würde aber den freien Verkehr personenbezogener Daten nicht nur behindern, sondern in Bezug auf die Speicherung Vorratsdaten schlicht untersagen.

Zweck der Datenschutzrichtlinie ist es zum einen, die Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten zu schützen und zum anderen den freien Verkehr von personenbezogenen Daten innerhalb der EU nicht zu behindern.

Gleichwertiger Schutz innerhalb der EU?

Die Datenschutzrichtlinie gibt also auf europäischer Ebene für die Mitgliedstaaten verbindlich vor, dass in ihrem Anwendungsbereich ein gleichwertiges Schutzniveau für personenbezogene Daten existiert. Personenbezogene Daten dürfen innerhalb der EU übermittelt werden, wenn für die Datenverarbeitung (hier die Übermittlung) selbst eine Einwilligung oder gesetzliche Grundlage (z.B. ein Vertrag) existiert.

Das BMJV sieht dies jedoch anders. Die Gesetzesbegründung verweist zur Beschränkung der ebenfalls beeinträchtigten Dienstleistungsfreiheit (Art. 56 AEUV) auf die Notwendigkeit,

um  die  grundrechtlichen  Erfordernisse  des  Datenschutzes  und der  Datensicherheit zu gewährleisten.

Also nutzt die Begründung genau jene Argumente, auf die man ausweislich des Wortlauts der Datenschutzrichtlinie eine Beschränkung des freien Flusses personenbezogener Daten eben gerade nicht stützen darf. Das BMJV zweifelt damit freilich auch ein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU insgesamt an.

Kein Vertrauen in die Arbeit von Aufsichtsbehörden in anderen Mitgliedstaaten

Die Gesetzesbegründung sägt jedoch sogar noch weiter an den eigentlich existierenden europäischen Standards:

Zudem hätten die mit der Überprüfung der Einhaltung der Sicherheitsstandards und des Datenschutzes befassten deutschen öffentlichen Stellen in anderen Mitgliedstaaten der EU  keine unmittelbaren und gleich wirksamen Möglichkeiten zur Prüfung.

Das stimmt. Deutsche Datenschutzbehörden könnten nicht in anderen EU-Ländern tätig werden und die Einhaltung des Datenschutzrechts prüfen. Zuständig wäre vielmehr die jeweilige nationale Aufsichtsbehörde. Doch scheint das BMJV auch kein Vertrauen in die Kompetenz und Prüfungen durch andere europäische Aufsichtsbehörden zu besitzen:

Angesichts des Umfangs der Prüfpflichten und der Tatsache, dass es sich nicht um eine einmalige Überprüfung eines Anbieters sondern um die Wahrnehmung dauerhafter Aufgaben (zum Beispiel bei der Anpassung der Sicherheitskonzepte an den jeweiligen Stand der Technik) handelt, erscheint dies aber zu wenig wirksam.

Mit „dies“ bezieht sich die Gesetzesbegründung auf die in der Datenschutzrichtlinie ausdrücklich vorgesehene Möglichkeit, dass eine Aufsichtsbehörde (etwa in Deutschland) eine andere Behörde in einem EU-Mitgliedstaat um Amtshilfe ersuchen kann, um hoheitliche Maßnahmen vorzunehmen oder die Einhaltung des Datenschutzrechts zu prüfen. Auch mit dieser Begründung verkehrt das BMJV die geltenden Prinzipien der Datenschutzrichtlinie in ihr Gegenteil. Das Instrument der Amtshilfe wird dort ja gerade vorgesehen, weil es eben möglich ist, dass eine nationale Aufsichtsbehörde nicht zuständig ist. Ein gleichwertiges Schutzniveau für personenbezogene Daten existiert aber dennoch (bzw. gerade auch deshalb) innerhalb der EU.

Zudem fragt man sich, welcher „Umfang“ hier für die besondere Notwendigkeit einer Inlandsspeicherung und alleinigen Kontrolle durch deutsche Behörden spricht? Denn der in dem Gesetzesentwurf beschriebene Umfang an Pflichten in Bezug auf den Umgangt mit Daten und einzusetzende Datensicherheitsmaßnahmen ist kein anderer als jener, der für jedes normale Unternehmen gilt, wenn es personenbezogene Daten im Rahmen seiner Geschäftstätigkeit verarbeitet.

Mögliche Folgen?

Denkt man die Argumentation im Gesetzesentwurf zu Ende, so würde dies bedeuten, dass kein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU besteht. Personenbezogene Daten dürften dann auch grundsätzlich nicht in andere Mitgliedstaaten übermittelt werden bzw. nur dann, wenn besondere Anforderungen erfüllt sind. Im Prinzip würde man, überspitzt formuliert, jeden Staat außerhalb Deutschlands zum „unsicheren Drittstaat“ deklarieren.

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung zur Richtlinie zur Einführung der Vorratsdatenspeicherung (C-293/12) bemängelt, dass die fraglichen Daten nicht „im Unionsgebiet auf Vorrat gespeichert werden“. Eine Pflicht zur Speicherung allein in einem Mitgliedstaat, hat der EuGH jedoch nicht aufgestellt.

Strategie automatisiertes und vernetztes Fahren – Neuerungen im Datenschutzrecht?

Heute hat das Bundeskabinett die durch Bundesverkehrsminister Alexander Dobrindt erarbeitete „Strategie automatisiertes und vernetztes Fahren“ beschlossen (PDF). Das mit der Strategie verfolgte Ziel des Bundesverkehrsministers:

Wir wollen unsere Erfolgsgeschichte beim Automobil digital fortschreiben und die Wachstums- und Wohlstandschancen der Mobilität 4.0 nutzen.

In der zu der Veröffentlichung der Strategie herausgegebenen Pressemeldung wurde zum Thema „Datenschutz“ konstatiert:

Neue Vorgaben im Datenschutzrecht?

Die Fahrer automatisierter und vernetzter Fahrzeuge müssen über die Erhebung und Verwertung von Daten informiert werden – und ihre Einwilligung geben. Die Daten gehören dem Nutzer.

Eine solche Ankündigung lies zunächst doch ein wenig aufhorchen. Nicht jene Feststellung, dass die Fahrer in vernetzten Fahrzeugen über stattfindende Datenverarbeitungen aufzuklären sind. Dies ist bereits jetzt gesetzlich vorgeschrieben (§ 4 Abs. 3 BDSG, § 13 Abs. 1 TMG). Doch das formulierte Postulat, dass Fahrer „ihre Einwilligung“ in eine Datenverarbeitung erteilen „müssen“ und die Aussage, „Daten gehören dem Nutzer“, würden in dieser Pauschalität die datenschutzrechtlichen Gegebenheiten und den geltenden Gesetzesrahmen nicht korrekt darstellen bzw. neue Anforderungen an die Datenverarbeitungen schaffen. Die Einwilligung ist derzeit nur eine von mehreren Möglichkeiten, um personenbezogene Daten verarbeiten zu können und „muss“ daher nicht zwingend vorliegen. Die Frage, wem Daten „gehören“, wird seit einiger Zeit im Datenschutzrecht kontrovers diskutiert – ohne, dass es bisher eine befriedigende Antwort darauf gegeben hätte. Dies mag daran liegen, dass ein Besitz oder gar an Eigentum an Daten im Datenschutzrecht nicht vorgesehen ist und daher andere Rechtsgebiete (Zivilrecht, Urheberrecht, etc.) bemüht werden müssen.

Das Datenschutzrecht muss beachtet werden

Betrachtet man nun die beschlossene Strategie selbst, so kann man aus Sicht des Datenschutzrechts feststellen, dass die geltenden Vorgaben erhalten bleiben und es etwa keine (in der Pressemitteilung anklingende) Pflicht zur Einholung der Einwilligung geben soll. Überhaupt nicht eingegangen wird auf das Postulat „Daten gehören dem Nutzer“.

Die Grundsätze des allgemeinen Datenschutzrechts sind zu beachten.

Mit diesem Hinweis beginnt der Abschnitt zum Datenschutz in der Strategie (S. 24 f.). Alles andere hätte auch verwundert.

Verpflichtende Anonymisierung und Pseudonymisierung?

Eine weitere Vorgabe der Strategie unterscheidet sich dann doch in einem bestimmten Punkt von den geltenden gesetzlichen Bestimmungen:

Bei der Erhebung, Verarbeitung und Verknüpfung von Daten müssen verstärkt Techniken zur Anonymisierung und Pseudonymisierung eingesetzt werden.

Die Strategie statuiert ihrem Wortlaut nach eine Pflicht („müssen“) zur Implementierung von Technologien zur Datenvermeidung und zur Verwirklichung des Grundsatzes der Datensparsamkeit. Vergleicht man damit die geltenden gesetzlichen Vorgaben, fällt auf, dass nach § 3a S. 2 BDSG keine generelle Pflicht zur Anonymisierung und Pseudonymisierung besteht. In § 3a S. 2 BDSG heißt es:

Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist.

Anonymisierung und Pseudonymisierung werden also derzeit als eine Art Zielvorgaben ausgegeben und mit dem Aufwand in einem angemessenen Verhältnis stehen. Die Nichtbeachtung dieser Zielvorgabe hat auch keinen direkten Einfluss auf die Rechtmäßigkeit einer Datenverarbeitung. Nach der Formulierung in der Strategie („müssen“), könnte sich dies eventuell ändern. Dies wird man, gerade mit Blick auf die anstehenden Änderungen durch die Datenschutz-Grundverordnung, jedoch abwarten müssen.

Generelle Einwilligungs-Pflicht?

Die Einwilligung muss dabei selektiv möglich und zudem widerruflich sein, soweit es um Funktionen geht, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind.

Die Strategie befasst sich mit den Anforderungen an die datenschutzrechtliche Einwilligung. Diese muss „selektiv“, also für einzelne Datenverarbeitungen getrennt möglich sein. Zudem soll ein Widerruf einer einmal erteilten Einwilligung möglich sein. Auch diese Vorgabe ist keine Neuerung im Vergleich zur geltenden Rechtslage (vgl. etwa § 13 Abs. 2 Nr. 4 TMG), zumindest soweit man das TMG betrachtet. Mit Blick auf das BDSG hat das Bundesarbeitsgericht im Jahre 2014 (Urteil vom 11.12.2014 – Az. 8 AZR 1010/13) entschieden, dass die Erteilung einer zeitlich nicht beschränkten Einwilligung zwar im Grundsatz nicht bedeutet, dass sie unwiderruflich erteilt worden wäre. Allerdings, so das BAG, deute ein Umkehrschluss aus § 28 Abs. 3a S. 1 BDSG darauf hin, dass eine einmal erteilte Einwilligung nicht generell „jederzeit mit Wirkung für die Zukunft widerrufen werden kann„. Eventuell denkt man im BMVI also darüber nach, ein generelles Widerrufsrecht im Datenschutzrecht, zumindest mit Blick auf das vernetzte Auto, einzuführen? Auch dies wird man abwarten müssen.

Festhalten kann man jedoch, dass die Ausführungen der Strategie zur Einwilligung sich einschränkend nur auf Funktionen des „SmartCar“ beziehen, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind. Oder anders: die Einwilligung ist eben nur dann notwendig, wenn nicht bereits ein Kauf-, Leasing- oder auch reiner Nutzungsvertrag über Dienste im Fahrzeug als Grundlage der Datenverarbeitung dient und diese Datenverarbeitung erforderlich ist, um den Vertrag durchzuführen oder Dienstfunktionen zu erbringen. Auch dies entspricht der geltenden Gesetzeslage (vgl. etwa § 28 Abs. 1 S. 1 Nr. 1 BDSG, § 14 Abs. 1 TMG oder § 15 Abs. 1 TMG).

Festzuhalten bleibt also aus Sicht des Datenschutzrechts, dass weit weniger Änderungen in der Strategie angedacht sind, als dies eventuell zunächst den Anschein hatte. Man baut die Einhaltung geltender Prinzipien, die eventuell punktuell angepasst werden könnten. Dabei muss freilich beachtet werden, dass jede Änderung des geltenden Datenschutzrechts nach In Kraft treten der Datenschutz-Grundverordnung auf ihre Daseinsberechtigung (also Vereinbarkeit mit den zukünftigen europäischen Vorgaben) geprüft werden muss.

Hessischer Datenschutzbeauftragter: Dynamische IP-Adresse ist nicht per se ein personenbezogenes Datum

Heute hat der Hessische Landesdatenschutzbeauftragte, Prof. Ronellenfitsch, seinen Tätigkeitsbericht für das Jahr 2014 vorgestellt.

Unter anderem behandelt der Tätigkeitsbericht ein Prüfverfahren hinsichtlich der „Fraport App“, die von der Fraport AG als eine Hilfe für Flugreisende und andere Besucher des Flughafens in Frankfurt am Main angeboten wird. Mit der App ist es u.a. möglich, sich den eigenen Standort auf dem Flughafen anzeigen zu lassen. Beabsichtigt war zunächst, mobile Geräte durch auf dem Gelände verteilte WLAN-Hotspots mit MAC- und IP-Adressen zu erfassen, sofern ihre WLAN-Schnittstelle aktiv war.

Der Datenschutzbeauftragte stellt in seinem Bericht drei Szenarien dar, wie die MAC- und IP-Adresse von Besuchern des Flughafens über WLAN-Hotspots erhoben werden können. Hierzu gehört gerade auch die Situation, dass die Fraport App nicht auf einem Gerät installiert ist und genutzt wird, sondern Besucher sich direkt mit einem WLAN-Hotspot verbinden. Dann bekommt der Nutzer eine dynamische IP-Adresse zugeteilt. Die Erfassung der dynamischen IP-Adresse stellt nach Auffassung des hessischen Datenschutzbeauftragten

kein datenschutzrechtliches Problem dar.

Diese Ansicht dürfte einige Beobachter zumindest überraschen. Denn eigentlich gehen die deutschen Datenschutzbehörden schon lange und beständig davon aus, dass IP-Adressen grundsätzlich einen Personenbezug aufweisen (vgl. etwa die Orientierungshilfe des Düsseldorfer Kreises zu Apps, PDF) und bei ihrem Umgang daher die Vorgaben des Datenschutzrechts zu beachten sind (z.B. Informationen zum Datenumgang bereitstellen oder eine Rechtsgrundlage für die Verarbeitung der IP-Adresse vorweisen zu können). Erst kürzlich hat etwa die bayerische Aufsichtsbehörde klargestellt, dass jeder Webseiten- oder App-Betreiber aufgrund des Personenbezugs von IP-Adressen eine Datenschutzerklärung vorhalten muss, um über den Umgang mit der IP-Adresse aufzuklären (hierzu mein Beitrag).

Die Auffassung des hessischen Landesdatenschützers scheint (erfreulicherweise) nun zumindest aber von einer pauschalen „Vorverurteilung“ einer IP-Adresse als personenbezogenes oder personenbeziehbares Datum abzurücken.

In seinem Tätigkeitsbericht führt der Landesdatenschützer aus, dass WLAN-Netzwerkbetreiber eine unmittelbare Identifikation anhand der IP-Adresse grundsätzlich nur bei statischen IP-Adressen vornehmen können. Die am Flughafen Frankfurt bereitgestellten WLAN-Hotspots werden aber über die Vergabe von dynamischen IP-Adressen betrieben.

Der Landesdatenschutzbeauftragte:

Eine Identifikation ist nur möglich, wenn die Nutzer während einer Sitzung selbst personenbezogene oder personenbeziehbare Daten hinterlassen. Dies ist nach den vorliegenden Dokumenten nicht der Fall. Deshalb sind dynamische IP-Adressen in diesem Szenario keine personenbeziehbaren Daten.

Die Auffassung des Landesdatenschützers verdient Zustimmung. Zum einen, weil sie von einer pauschalen Einordnung von IP-Adressen als personenbezogenes oder –beziehbares Daten abrückt. Zum anderen, weil sie eben gerade auf den Kontext und die konkrete Situation abstellt. Natürlich kann sich eine IP-Adresse zu einem personenbezogenen Datum „verwandeln“, wenn zu ihr personenbezogene Daten hinzugespeichert werden (z. B. wenn der Nutzer weitere Informationen eingibt). Dann muss selbstverständlich auch das Datenschutzrecht für den Umgang mit der IP-Adresse gelten.

Datenschutzreform: Kein Mitgliedstaat verfolgt die Absicht, zentrale Datenschutzprinzipien aufzuweichen

Im Rahmen ihrer Antwort (PDF) auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag zu dem Thema „Neuregelung des Beschäftigtendatenschutzes“, hat sich die Bundesregierung nicht nur mit spezifischen Fragen der Datenverarbeitung im Verhältnis zwischen Arbeitgeber und Arbeitnehmer befasst, sondern auch einige interessante Ausführungen zu anderen wichtigen Bereichen der geplanten Datenschutz-Grundverordnung (DS-GVO) gemacht und ihre Auffassung zu diesen Themen dargelegt.

Betrieblicher Datenschutzbeauftragter
Die Frage, ob es in Zukunft eine EU-weite Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten gibt, ist nach wie vor offen. Im Rat der Europäischen Union konnte hinsichtlich dieses Vorschlags (u.a. von Deutschland) bisher keine Mehrheit gewonnen werden.

In ihrer Antwort bekräftigt die Bundesregierung ihre Absicht, eine solche Pflicht eventuell noch innerhalb der aktuell laufenden Trilogverhandlungen auf EU-Ebene noch in die DS-GVO einfließen zu lassen.

Die Bundesregierung setzt sich in den Verhandlungen weiterhin dafür ein, dass die Mitgliedstaaten durch die Datenschutz-Grundverordnung verpflichtet werden, dieses in Deutschland bewährte Konzept zu übernehmen.

Was geschieht mit aktuell gültigen Betriebsvereinbarungen?
Nach derzeit geltendem Recht stellen Betriebsvereinbarungen eine „andere Rechtsvorschrift“ im Sinne des § 4 Abs. 1 BDSG dar und können daher als Grundlage von Datenverarbeitungen in Unternehmen dienen. Doch was geschieht mit geltenden Betriebsvereinbarungen, wenn die DS-GVO, als unmittelbar geltende europäische Verordnung, in Kraft tritt und zwei Jahre später Anwendung findet?

Die Bundesregierung verweist auf den grundsätzlichen Anwendungsvorrang des EU-Rechts vor kollidierenden nationalen Regelungen. Ob geltende Betriebsvereinbarungen dann keine Anwendung mehr finden, hängt jedoch von der finalen Fassung der DS-GVO und möglichen Öffnungsklauseln und den Voraussetzungen an nationale Regelungen ab. Die Bundesregierung verweist zudem darauf, dass die Ratsfassung der DS-GVO in Erwägungsgrund 124 klarstellt, dass in Art. 82 DS-GVO (der speziellen Vorschrift zum Umgang mit personenbezogenen Daten von Arbeitnehmern) erwähnte Kollektivvereinbarungen auch Betriebsvereinbarungen umfassen.

Keine „strengeren“ nationalen Gesetze im Vergleich zur DS-GVO?
In Zukunft stellt sich zudem die Frage, ob nationale Regelungen im Anwendungsbereich von Öffnungsklauseln der DS-GVO erlassen werden dürfen, die „strengere“ Vorgaben an die Verarbeitung personenbezogener Daten machen, als jene in der DS-GVO. Sollte dies möglich sein, wird sich freilich in Folge eine Situation einstellen, in der manche Mitgliedstaaten „strengere“ Datenschutzgesetze besitzen als andere. Eine Vereinheitlichung wäre damit zumindest nicht gänzlich erreicht.

Die Bundesregierung will sich dafür einsetzen, dass die Mitgliedstaaten sektorspezifische Rechtsvorschrift, die bereits auf Grundlage der geltenden Datenschutz-Richtlinie erlassen wurden, beibehalten werden können. Zudem möchte sich die Bundesregierung dafür einsetzen, dass Art. 82 DS-GVO im Bereich des Arbeitnehmerdatenschutzes nur als „Mindestnorm“ anzusehen ist. Mitgliedstaaten könnten also etwa in diesem Bereich abweichend „strenge“ Vorgaben machen.

Bleiben geltende Datenschutzprinzipien erhalten?
Die Fraktion DIE LINKE möchte wissen, welche EU-Mitgliedsstaaten

nach Kenntnis der Bundesregierung aus welchen Gründen oder mit welcher Begründung ggf. die Absicht, zentrale Datenschutzprinzipien, wie die Zweckbindung und die Datensparsamkeit, in der EU-Datenschutz-Grundverordnung aufzuweichen.

Die Bundesregierung kann eine solches „Aufweichen“ geltender Datenschutzprinzipien jedoch nicht ausmachen:

Nach Beobachtung der Bundesregierung verfolgt kein Mitgliedstaat die Absicht, zentrale Datenschutzprinzipien aufzuweichen.

Der Grundsatz der Datensparsamkeit finde sich in Art. 5 Abs. 1 (c) der DS-GVO. Zudem merkt die Bundesregierung an, dass sie sich in den Ratsverhandlungen für die Beibehaltung der Formulierung des ursprünglichen Kommissionsvorschlags ausgesprochen habe.

Auch der Grundsatz der Zweckbindung werde beibehalten und finde sich in Art. 5 Abs. 1 (b) der DS-GVO. Die Formulierung entspreche zudem im Wesentlichen derjenigen der Datenschutz-Richtlinie.

Zweckändernde Datenverarbeitung auch ohne Einwilligung oder Vertrag
Die „Zweckänderung“ war ein Thema, welches vor allem auch in der Öffentlichkeit heftig diskutiert wurde. Die Bundesregierung wurde für ihre Änderungsvorschläge zum Teil heftig kritisiert. In ihrer Antwort verweist sie darauf, dass das geltende Bundesdatenschutzgesetz bereits derzeit zahlreiche Regelungen zur zweckändernden Weiterverarbeitung enthalte. Zudem führt sie an, dass eine solche Weiterverarbeitung nicht heimlich geschehen kann, sondern der Betroffene hierüber zu informieren ist (Art. 14 Abs. 1b) und Art. 14a Abs. 3a DS-GVO Ratsfassung). Auch möchte sich die Bundesregierung weiterhin dafür einsetzen,

dass die Befugnis zur zweckändernden Datenverarbeitung ohne Rechtsgrundlage und allein auf Grundlage einer Interessenabwägung für den öffentlichen Bereich nicht in der Datenschutz-Grundverordnung enthalten sein wird.

Verhandlungen zur Datenschutzreform: Rechte der Betroffenen stehen im Mittelpunkt

Im September gehen die Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) zwischen Kommission, Parlament und Rat weiter.

Da an den Trilogverhandlungen für den Rat nicht Vertreter eines jeden EU-Mitgliedstaates teilnehmen, versucht die amtierende Ratspräsidentschaft zuvor die Stimmung der Mitgliedstaaten zu bestimmten Verhandlungsthemen abzufragen und zu sortieren.

Ein Verhandlungsdokument zur Darstellung der verschiedenen Positionen und mit Vorschlägen für die nächsten Verhandlungen zu Kapitel III DS-GVO, welches bei statewatch.org veröffentlicht wurde, hat die Ratspräsidentschaft den Vertretern der Mitgliedstaaten Ende Juli zukommen lassen (Dokument, PDF).

In Kapitel III DS-GVO geht es vor allem um die Rechte der Betroffenen (und damit natürlich auch spiegelbildlich um die Pflichten der für die Verarbeitung Verantwortlichen). Themen sind unter anderem das Auskunftsrecht, das „Recht auf Vergessenwerden“, das Recht auf Datenportabiliät und auch Informationspflichten.

Die Ratspräsidentschaft bittet die Mitgliedstaaten um Kommentare und Anregungen, wie in Bezug auf Abweichungen zwischen den Positionen von Parlament und Rat in den Trilogverhandlungen vorgegangen werden soll, wo also etwa die Position des Parlaments unterstützt oder wo eine abweichende Position des Rates weiterverfolgt werden kann.

Behandelt werden unter anderem folgende Änderungsvorschläge:

  • Einführung von Bildern/Zeichen zur Visualisierung der Datenverarbeitungszwecke.
  • Informationen dazu, wie lange Daten gespeichert werden.
  • Im Fall von Datenübermittlungen in Drittstaaten, Informationen dazu, auf welcher Grundlage (Angemessenheitsbeschluss, Standardvertragsklauseln etc.) dies erfolgt.
  • Wie oft ein Auskunftsanspruch (etwa pro Jahr) kostenlos geltend werden darf.
  • Welche Pflichten beim „Recht auf Vergessenwerden“ bestehen. Insbesondere, ob es einen Unterschied macht, dass Daten rechtmäßig veröffentlicht wurden oder nicht. Zudem, wie weit die Pflicht für verantwortliche Stelle reicht, ob diese also weitere Stellen nur informieren oder selbst für eine Löschung der Daten Dritten sorgen müssen.
  • Welche Rechte bei einer automatisierten Einzelfallentscheidung bzw. einem Profiling existieren.

Datenflüsse beim Softwareeinsatz: Bundestag lehnt erweiterte Transparenzpflicht für Hersteller ab

Der Petitionsausschuss des Bundestages hat eine Online-Petition mit dem Titel „Kundenschutz im Telekommunikationsbereich – Bestätigungsfunktion bei Rücksendung von Daten an Softwarehersteller“ am 2.7.2015 abgeschlossen und den in der Petition aufgestellten Forderungen eine Absage erteilt.

Nach der Petition sollte der Bundestag beschließen,

dass die Hersteller von Software grundsätzlich die Daten, die im Hintergrund an den Hersteller – oder andere Zielsysteme – gesendet werden sollen, auf dem Bildschirm anzeigt und vom Nutzer der Software eine Bestätigung erfolgen muss, bevor diese Daten an den Hersteller – oder andere Zielsysteme – gesendet werden.

In seinem ablehnenden Beschluss (PDF), führt der Petitionsausschuss zunächst an, dass das Datenschutzrecht (und damit verbundene Informationspflichten) überhaupt nur dann Anwendung findet, wenn personenbezogene Daten betroffen sind. Danach befasst sich der Ausschuss mit den rechtlichen Grundlagen, wann personenbezogene Daten im Verhältnis zwischen Softwarenutzer und –hersteller verarbeitet werden dürfen.

Dabei kommen insbesondere § 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 BDSG in Betracht. Insofern weist der Ausschuss darauf hin, dass bei Vorliegen der Voraussetzung eine Datenverarbeitung durch die Softwarehersteller auch ohne (die von der Petition geforderte) Einwilligung erlaubt ist. Jedoch sei auch dafür Sorge getragen, dass personenbezogene Daten nicht ohne Kenntnis der Betroffenen verarbeitet werden. Denn nach § 4 Abs. 2 S. 1 BDSG gelte der Grundsatz der Direkterhebung. Daten sollen also grundsätzlich direkt beim Betroffenen erhoben werden. Zudem soll dieser nach § 4 Abs. 3 S. 1 BDSG von dem Softwarehersteller über dessen Identität, die Zweckbestimmung der Verarbeitung und die Kategorien von Empfängern informiert werden.

Zudem sind nach Auffassung des Ausschusses die benannten Erlaubnistatbestände eng auszulegen. Der Softwarehersteller als verantwortliche Stelle könne nicht frei darüber befinden, welche Daten er zu welchen Zwecken erheben und verwenden möchte. Lediglich die für Vertragserfüllung objektiv erforderlichen Daten dürfen genutzt werden. Zudem müssen nach § 28 Abs. 1 S. 2 BDSG schon bei der Erhebung der Daten die Zwecke konkret festgelegt werden, für die die Daten verarbeitet werden sollen.
Für den Fall, dass einer der Erlaubnistatbestände nicht greift und die Einwilligung des Nutzers eingeholt werden muss, weist der Ausschuss darauf hin, dass diese informiert abgegeben werden muss. Nutzer sind also auf die vorgesehenen Zwecke der Datenverarbeitung hinzuweisen.

In beiden Konstellationen ist nach Auffassung des Ausschusses folglich eine hinreichende Transparenz gewährleistet.

Zuletzt begründet der Ausschuss seine Entscheidung mit dem Verweis auf das Auskunftsrecht (§ 34 BDSG) der Nutzer und die Benachrichtigungspflicht (§ 33 BDSG) der verantwortlichen Stelle, wenn personenbezogene Daten nicht direkt beim Betroffenen erhoben werden. Auch durch diese Instrumente ist gewährleistet, dass interessierte Betroffene in Erfahrung bringen können, welche Daten zu welchen Zwecken verarbeitet werden.

Einsatz von Dienstleistern: Geldbuße in fünfstelliger Höhe wegen fehlerhaftem Vertrag

In der Praxis ist die Figur der sog. Auftragsdatenverarbeitung nicht mehr wegzudenken. Unternehmen setzen für unzählige Prozesse externe Dienstleister ein. Werden durch einen solchen Dienstleister personenbezogene Daten im Auftrag erhoben, verarbeitet oder genutzt, so ist nach § 11 Abs. 1 BDSG der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich. Als externe Dienstleister gelten im Datenschutzrecht übrigens auch solche Stellen, die innerhalb eines Konzerns miteinander verbunden sind. So kann etwa auch zwischen zwei Tochtergesellschaften derselben Mutter eine ADV vorliegen und der Abschluss eines entsprechenden Vertrages erforderlich sein.

Die bayerische Aufsichtsbehörde für den Datenschutz im privaten Bereich (BayLDA), hat nun bekanntgegeben (PDF), dass ein Unternehmen, welches einen fehlerhaften Vertrag zur Auftragsdatenverarbeitung nutzte, mit einer Geldbuße in fünfstelliger Höhe belegt wurde. Grund genug für Unternehmen, auf einen rechtkonformen Einsatz externer Dienstleister und Stellen zu achten. Dazu gehört auch der Abschluss eines Vertrages zur Auftragsdatenverarbeitung.

Wann liegt eine „ADV“ vor?
Oft schneller als man denkt. Es existiert jedoch kein fester Katalog an Beispielen. In der Kommentarliteratur werden jedoch etwa folgende Sachverhalte als fall der ADV klassifiziert: Beauftragung eines externen Rechenzentrums mit der Durchführung bestimmter Datenverarbeitungsaufgaben; Beauftragung eines externen Entsorgungsunternehmens mit dem Vernichten von Altpapier; Call-Center-Leistungen, wenn die Kommunikation mit den Anrufern klar vorgegebenen ist; oft auch der Einsatz von Softwarelösungen im Wege des Cloud-Computing.

Grundsätzlich bedarf es jedoch stets einer Prüfung im Einzelfall, ob tatsächlich eine Auftragsdatenverarbeitung vorliegt.

Welchen Inhalt muss der Vertrag haben?
§ 11 Abs. 2 BDSG legt die Mindestanforderungen an einen solchen Vertrag fest. Danach ist der Auftrag schriftlich zu erteilen und insbesondere im Einzelnen festzulegen:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Im Fall des BayLDA hat das Unternehmen, als Auftraggeber und verantwortliche Stelle, keine konkreten technischen und organisatorischen Maßnahmen (vgl. § 9 BDSG) in den Verträgen festgelegt und bei den Auftragnehmern deren Implementierung nicht geprüft. Diese dürfen nicht pauschal an einen Vertrag abgehängt werden, sondern müssen von Fall zu Fall festgelegt und in dem Vertrag vorgeschrieben werden. Das BayLDA selbst bietet eine Übersicht zur Auftragsdatenverarbeitung mit Erläuterungen an (PDF).

Melderegisterauskunft im Internet – Erhöhte Anforderungen an Portalbetreiber

Im November 2015 tritt das neue Bundesmeldegesetz (BMG) in Kraft. Nach dessen § 49 Abs. 3 wird in Zukunft die Möglichkeit bestehen, sog. einfache Melderegisterauskünfte in einem automatisierten Verfahren über Onlineportale zu erteilen. Diese Portale können auch in privatrechtlicher Form (also etwa als GmbH) betrieben werden. Dann ist jedoch eine Zulassung durch die jeweilige oberste Landesbehörde erforderlich. Die Voraussetzungen einer solchen Zulassung sollen nun in einer Verordnung festgelegt werden, der sog. Portalverordnung – PortalVO (PDF). Selbstverständlich spielen hierbei auch Datenschutz und Datensicherheit eine Rolle. Immerhin handelt es sich ja um personenbezogene Daten aus den Melderegistern.

In § 2 Nr. 1 PortalVO wird festgelegt, dass ein Portal den Anfragenden (also jene Person, die Auskunft aus dem Melderegister begehrt) so registrieren können muss, dass dessen Identität festgestellt werden kann. Eine Registrierung einer eventuell anfragenden Stelle (also etwa eines Vereins oder eines Unternehmens) reicht nach der Verordnungsbegründung nicht aus. Es muss eine „die Anfragen verantwortende Person…zu registrieren“. Die Identität dieser Person muss feststellbar sein. Eine Registrierung allein mit dem Namen und einer E-Mail-Adresse wird daher wohl nicht ausreichen.

§ 3 PortalVO statuiert eine umfangreiche Protokollierungspflicht für das Portal. Aufzuzeichnen sind u.a. die Kennung des Anfragenden, die Daten, mit denen angefragt wurde und der Zeitpunkt der Anfrage. Nach § 3 Abs. 2 PortalVO muss zudem gewährleistet sein, dass die Protokolldaten mindestens (also nicht etwa maximal) 12 Monate aufbewahrt und gesichert werden. Spätestens zu Löschen sind die Daten am Ende des Kalenderjahres, das auf die Speicherung folgt. Bedeutet: Daten zu einer Anfrage am 1.1.2015 können bis zum 31.12.2016 aufbewahrt werden.

Zudem sieht § 3 Abs. 2 Nr. 3 PortalVO eine gesetzliche Zweckbindung für die Nutzung der Protokolldaten vor. Sie dürfen für Zwecke der Datenschutzkontrolle, hieraus folgender Strafverfahren und zur Sicherstellung des Portalbetriebs genutzt werden. Eine Weitergabe der Protokolldaten an Strafverfolgungsbehörden wird also erlaubt, jedoch nur, wenn sich ein Verdacht auf eine Straftat aus einer Datenschutzkontrolle ergibt. Aufgrund der im Bundesdatenschutzgesetz recht spärlich gesäten Straftatbestände (vgl. § 44 BDSG), dürfte dies also praktisch nie erlaubt sein.

§ 4 PortalVO normiert datenschutzrechtliche und datensicherheitsrechtliche Pflichten für den Portalbetreiber. So muss die Auskunft an den anfragenden Nutzer verschlüsselt erfolgen, wobei der Verschlüsselungsstandard offen gelassen wird. Auch muss der Betreiber technische und organisatorische Maßnahmen vorsehen, um den Datenschutz und die Datensicherheit zu gewährleisten. Die Verordnungsbegründung verweist u.a. auf die Vorschrift des § 9 BDSG. Der Betreiber darf außerdem die an den Anfragenden übermittelten Daten zudem nach der Weitergabe nicht in seinem System speichern. In der Praxis sollten Betreiber diesbezüglich vor allem auf automatische Backups und Datensicherungen achten, die eventuell ungewollt dennoch derartige Daten enthalten könnten.

Wichtige Änderung bei Google: Einwilligung beim Einsatz von AdSense und DoubleClick erforderlich

Am 27. Juli 2015 hat Google wichtige Änderungen seiner Produkte AdSense und DoubleClick bekanntgegeben (hier der offizielle Beitrag im AdSense-Blog. Diese Änderungen betreffen alle Webseitenbetreiber, die an den benannten Programmen teilnehmen.

Die Änderungen beziehen sich auf das Erfordernis der Einholung einer datenschutzrechtlichen Einwilligung von Webseitenbesuchern. Google hat im Zuge dessen eine neue „Richtlinie über die Zustimmung der Nutzer in der EU“ veröffentlicht. Wenn ein Webseitenbetreiber ein Google-Produkt verwendet, für das diese Richtlinie gilt, muss der Webseitenbetreiber in Zukunft Endnutzern in der Europäischen Union zum einen bestimmte Informationen offenlegen und es müssen zum anderen Einwilligungen der Endnutzer in die Datenverarbeitung eingeholt werden.

Welche Werbeprodukte für Publisher sind betroffen?
Nach Angaben von Google müssen alle Publisher die Richtlinie über die Zustimmung der Nutzer in der EU befolgen, einschließlich aller Nutzer von AdSense, DoubleClick Ad Exchange und DoubleClick for Publishers.

Was verlangt Google?
Die „Richtlinie zur Einwilligung der Nutzer in der EU“ besteht aus zwei Maßnahmen.

  • Zum einen müssen Publisher wirtschaftlich vertretbare Maßnahmen ergreifen, damit jegliche Datenerfassung, -weitergabe und -nutzung klar offengelegt wird, die auf Websites, in Apps, E-Mails oder anderen Inhalten infolge Ihrer Verwendung von Google-Produkten erfolgt, und sie müssen eine entsprechende Einwilligung einholen.
  • Zum anderen müssen wirtschaftlich angemessene Maßnahmen ergriffen werden, um sicherzustellen, dass ein Endnutzer verständliche und umfassende Informationen zur Speicherung von und zum Zugriff auf Cookies und Daten auf dem Gerät des Endnutzers erhält und diesen Aktivitäten zustimmt, wenn derartige Aktivitäten im Zusammenhang mit der Verwendung eines Produkts erfolgen, für das die Richtlinie gilt.

Bin ich zur Umsetzung der Maßnahmen verpflichtet?
Bei der Antwort auf diese Frage sollte man eine gesetzliche Verpflichtung auf der einen Seite und eine vertragliche Verpflichtung (gegenüber Google) auf der anderen Seite unterscheiden.

Ob man als Webseitenbetreiber, der an ein entsprechendes Google-Produkt nutzt, tatsächlich gesetzlich dazu verpflichtet ist, die Einwilligung der Nutzer in die Datenverarbeitung einzuholen, ist meines Erachtens zumindest diskutabel. Google verweist in den Informationen im AdSense-Blog auf Forderungen der europäischen Datenschützer, die eine Anpassung der bestehenden Umstände zur Einholung einer Einwilligung der Nutzer verlangen. Diesen Forderungen möchte Google nun anscheinend nachkommen. Zu beachten ist, dass es sich hierbei um Anforderungen an die Datenverarbeitung durch Google, bzw. durch seine Produkte, handelt. Mein Eindruck ist, dass die von Google nun verlangte Einholung der Einwilligung also nicht den Webseitenbetreiber als Adressaten der Erlaubnis betrifft, sondern Google selbst. Die Einwilligung wird dann von Google über die Webseitenbetreiber an die teilnehmenden Publisher sozusagen weitergereicht.

Dass Webseitenbetreiber selbst keine datenschutzrechtliche Pflicht zur Einholung einer Einwilligung besitzen, wenn auf ihrer Webseite Anzeigen geschaltet sind, die von einem Anbieter eines Werbenetzwerks mit Inhalten befüllt werden, haben die europäischen Datenschütze in einer Stellungnahme aus dem Jahre 2010 festgesellt (WP 171, PDF). Informationspflichten dazu, ob Cookies gesetzt werden und wenn ja, welche Arten von Informationen in dem Cookie gespeichert werden, sollen für Webseitenbetreiber aber in jedem Fall bestehen.

Wichtig ist jedoch auch die vertragliche Ebene zu betrachten. Google selbst informiert die teilnehmenden Publisher, dass wenn sie Google-Produkte wie Google AdSense oder DoubleClick for Publishers verwenden, sie vertraglich gegenüber Google dazu verpflichtet, die EU-Richtlinie zum Einholen der Zustimmung von Google zu befolgen. Unabhängig von gesetzlichen Pflichten, besteht also eine vertragliche Pflicht gegenüber Google, wenn man ein entsprechendes Produkt verwendet.

Wie muss man die Anforderungen umsetzen?
Google selbst bietet hierzu Informationen auf einer Hilfe-Seite an. Dort finden sich Lösungen dazu, wie Zustimmungsmechanismen in Webseiten und Apps integriert werden können. Außerdem sind hier Beispieltexte für Nachrichten verfügbar, mit denen die Einwilligung der Nutzer eingeholt werden kann. Dort wird auch deutlich, dass Google mit den nun vorgestellten Änderungen die Anforderungen der Datenschutzbehörden beim Einsatz von Cookies auf Webseiten umsetzen möchte. Diese Forderung, beim Einsatz von bestimmten Cookies eine Einwilligung einzuholen, entspringt einer europäischen Richtlinie (2002/58/EG, sog. ePrivacy Richtlinie). Die Umsetzung der ePrivacy Richtlinie in den europäischen Mitgliedstaaten ist jedoch recht unterschiedlich erfolgt. Teilweise wird von dem Erfordernis eines Opt-ins, teilweise von einem Opt-out ausgegangen.

Fazit
Die nun von Google vorgestellten Änderungen betreffen alle Webseiten/App-Betreiber, die bestimmte Google-Produkte nutzen. Unabhängig von der Frage einer gesetzlichen Verpflichtung zur Einholung einer Einwilligung, sind die Betreiber vertraglich zur Umsetzung der Vorgaben verpflichtet. Google selbst macht mit diesem Anpassungsprozess meines Erachtens einen großen Schritt auf die europäischen Datenschützer und deren Forderungen zu.

Update
Der Kollege Thomas Schwenke informiert in seinem Blog ebenfalls über die Änderungen bei Google.

Achtung Webseitenbetreiber: Ab Samstag gelten erhöhte Anforderungen an die technische Sicherheit

Am 25. Juli 2015, also morgen, tritt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz PDF) in Kraft getreten. Das Gesetz richtet sich zwar insbesondere an die Betreiber Kritischer Infrastrukturen (z.B. von Atomkraftwerken), aber auch Betreiber von Webseiten und Telekommunikationsdiensteanbieter sind betroffen. Das Gesetz legt diesen neue gesetzliche Pflichten zum technischen und organisatorischen Schutz ihrer Angebote auf. Nachfolgend ein grober Überblick zu den Änderungen, die für Webseitenbetreiber gelten:

Nach dem neuen § 13 Abs. 7 Telemediengesetz (TMG), werden die Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt. „Geschäftsmäßig“ ist ein Webangebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht. Die Gesetzesbegründung (S. 34, PDF) zum IT-Sicherheitsgesetz geht davon aus, dass bei einem entgeltlichen Dienst diese Voraussetzung regelmäßig erfüllt ist. Dies soll auch für werbefinanzierte Webseiten gelten.

Maßnahmen, die zu treffen sind
Anbieter einer geschäftsmäßig betriebenen Webseite (also etwa eines Webshops), haben, soweit ihnen dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen (also Ihre Server und das gesamte Backend) möglich ist (§ 13 Abs. 7 S. 1 Nr. 1 TMG) und

gesichert sind. Diese technischen und organisatorischen Vorkehrungen müssen den Stand der Technik berücksichtigen. Dies bedeutet, dass die Vorkehrungen auf einem aktuellen Stand gehalten und nötigenfalls aktualisiert werden müssen.

Das Gesetz stellt die Umsetzung dieser Maßnahmen unter einen Zumutbarkeitsvorbehalt. Hierdurch soll sichergestellt werden, dass nur solche Vorkehrungen zu treffen sind, deren Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Jeder Webseitenbetreiber wird also prüfen müssen, ob er etwa besonders sensible Daten (z. B. Gesundheitsdaten und Zahlungsinformationen) verarbeitet oder allein mit „normalen“ personenbezogenen Daten in Kontakt kommt und anhand dieser Prüfung dann eventuell neue oder weitere technische Sicherheitsvorkerhungen treffen müssen. Vom Schutzzweck einerseits und den anfallenden Kosten andererseits hängt dann der auf Aufwand ab, den Anbieter betreiben müssen, um entsprechende technische Vorkehrungen umzusetzen. Zu den technischen Vorkehrungen zählt die Gesetzesbegründung beispielhaft die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens oder angemessener Authentifizierungsverfahren.

Es geht dem Gesetzgeber jedoch nicht nur um technische, sondern auch um organisatorische Maßnahmen. Ausdrücklich erwähnt die Gesetzesbegründung als Beispiel für solche Maßnahmen, dass  Vertragspartner (z. B. ein Werbedienstleister, dem Sie Werbeflächen auf Ihrer Webseite eingeräumt haben) zu notwendigen Schutzmaßnahmen zu verpflichten sind.

Und was sind mögliche Folgen bei mangelnder Beaxhtung der neuen Vorgaben?
Nach dem neuen § 16 Abs. 2 Nr. 3 TMG können Verstöße gegen die Vorgaben des § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 Buchst. a TMG mit einem Bußgeld bis zu 50.000 EUR geahndet werden. Laut der Gesetzesbegrünung ist gerade auch der Einsatz technischer und organisatorischer Maßnahmen durch Diensteanbieter, die nicht den Stand der Technik berücksichtigen, bußgeldbewehrt. Ob es in der Praxis jedoch direkt zu Bußgeldverfahren kommt, ist eine andere Frage.