Category Archives: Gesetze

Konferenz der deutschen Datenschützer: „Recht, schwer gefunden zu werden“ soll weltweit gelten

Posted on by

Am 8. und 9. Oktober 2014 fand in Hamburg die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) statt. Auf der Tagesordnung standen unter anderem die Kontrolle von Geheimdiensten, das Google-Urteil des EuGH und der Datenschutz im KfZ. Die Entschließungen der DSK sind nun auf der Webseite des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit abrufbar.
Mit Blick auf die Tätigkeit der Nachrichtendienste (Effektive Kontrolle der Nachrichtendienste herstellen!, PDF) stellt die DSK fest, dass deren Befugnisse auch die Überwachung der Telekommunikation einschließe und damit im Bereich der strategischen Auslandsüberwachung des BND ein Kontrolldefizit einhergeht. Da für die Betroffenen die durch Nachrichtendienste vorgenommene Datenverarbeitung in weitem Maße intransparent erfolgt, ist nach Ansicht der DSK auch der Individualrechtsschutz faktisch eingeschränkt. Die DSK bemängelt, dass bestimmte Bereiche nachrichtendienstlicher Tätigkeiten per se Eigeninitiativkontrolle durch die Datenschutzbeauftragten des Bundes und der Länder entzogen seien. Es fehle an einem eigenen Kontrollmandat der Datenschutzbeauftragten für Beschränkungen des Fernmeldegeheimnisses. Die DSK hält daher eine Einbindung der Datenschutzbeauftragten neben den parlamentarischen Kontrollinstanzen (G10-Kommission) für erforderlich.

Auch das „Google-Urteil“ des EuGH (Rs. C-131/12) war ein Thema der DSK (Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen, PDF). Mit Blick auf die immer noch umstrittene Frage, ob nach einer erfolgreichen Beschwerde eines Betroffenen die Ergebnislisten auch bei einer Suche über „Google.com“ entsprecht angepasst (also bestimmte Ergebnisse unterdrückt) werden müssen, fordert die DSK, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Hinsichtlich der auch vom Bundesinnenministerium angestellten Überlegungen, unabhängige Schlichtungsstellen zu etablieren, die bei Beschwerden über zurückgewiesene Anträge von Betroffenen entscheiden sollen, scheint die DSK Zurückhaltung zu üben. Nach der Entschließung dürften alternative Streitbeilegungs-oder Streitschlichtungsverfahren das verfassungsmäßige Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen (also Gerichte und/oder die Datenschutzbehörden) nicht beschneiden. Zuletzt streiten die Datenschützer eine Befugnis von Suchmaschinenbetreibern ab, dass diese bei einem positiven Antrag eines Betroffenen den jeweiligen Inhalteanbieter (also den Webseitenbetreiber) über die Sperrung von Suchergebnissen informieren dürften. Dies soll selbst dann gelt, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält. Meiner Ansicht nach ist dann aber, zumindest aus datenschutzrechtlicher Sicht fraglich, warum eine solche Information nicht erteilt werden dürfte? Denn personenbezogene Daten (wie der Name) werden ja dann nicht verarbeitet. Ironischerweise dürfte diese Sichtweise mit der geplanten Datenschutz-Grundverordnung ohnehin bald obsolet sein. Denn nach dem Entwurf der Kommission (Kom (2012) 11,  PDF) soll in Art. 17 Abs. 2 gerade eine solche Benachrichtigung verpflichtend eingeführt werden. Auf diese Pflicht weißt auch die italienische Ratspräsidentschaft in dem neuesten Dokument aus den Ratsverhandlungen zur Thematik des „Rechts auf Vergessenwerden“ hin (PDF).

Weitere Entschließungen der DSK:
Marktmacht und informationelle Selbstbestimmung (PDF)

Unabhängige und effektive Datenschutzaufsicht ist für Grundrechtschutz unabdingbar (PDF)

Datenschutz im Kraftfahrzeug (PDF)

Datenschützer entwickeln ein Hausaufgabenheft für Google

Posted on by

Seit 2012 haben europäische Datenschutzbehörden in einer koordinierten Aktion, unter Führung der französischen Datenschutzbehörde, die Datenschutzerklärung von Google und deren Vereinbarkeit mit europäischem Datenschutzrecht überprüft (hierzu meine Blogbeiträge: Europa gegen Google? – Die “Task-Force” macht ernst und Französische Datenschutzbehörde eröffnet Verfahren gegen Google). Nachdem in den letzten Jahren jeweils nationale Verfahren aus diesem koordinierten Vorgehen erwachsen sind (etwa in Spanien oder in Frankreich), hat das Gremium der europäischen Datenschutzbehörden (die Art. 29 Gruppe) nun einen Maßnahmenkatalog (PDF) (man könnte auch von einem datenschutzrechtlichen Hausaufgabenheft sprechen) entwickelt, der Maßnahmen vorschlägt, wie aus der Datenschutzbehörden die Datenschutzerklärung von Google anzupassen ist, um eine Konformität mit europäischem Datenschutzrecht herzustellen. Begleitet wird dieser Katalog von einem Brief (PDF) an Larry Page.

Die Vorschläge der Datenschützer sind dabei als mögliche Lösungsvarianten anzusehen und sollen Google dabei helfen, die Vorgaben der Aufsichtsbehörden umzusetzen. Nachfolgend einige Highlights des immerhin 6-seitigen Dokuments.

  • Die Datenschutzerklärung soll stets sichtbar und direkt aufrufbar sein, ohne dass Nutzer etwa zum Ende einer Webseite scrollen müssten.
  • Es sollen abschließend alle Datenarten aufgelistet werden, die von Google im Rahmen seiner Dienste verarbeitet werden.
  • Auch sollen abschließend alle Zwecke angegeben werden, die der Datenverarbeitung zugrunde liegen.
  • Allein auf einer Seite soll Google den Nutzern die Möglichkeit bieten, sich ein umfassendes Bild über die Datenverarbeitung zu verschaffen.
  • Sollten sich die Zweck der Datenverarbeitung ändern oder neue hinzukommen, so soll Google dies nicht in den Nutzungsbedingungen darstellen, sondern vielmehr in der Datenschutzerklärung darüber informieren.
  • Werden Daten an Dritte weitergegeben, so dürfe Google nicht einfach von „Partnern“ sprechen, sondern müsse diese Partner konkret benennen.
  • Passive Webseitenbesuchern sollen besser informiert werden. Zudem müsste ihnen die Möglichkeit einer Einwilligung in die Verarbeitung ihrer Daten gegeben werden. Die Art. 29 Gruppe weißt hier auf Google Analytics hin. So könnte der Dienst etwa derart eingestellt werden, dass eine Analyse des Nutzerverhaltens erst beginnt, wenn der Betroffene seine Einwilligung erteilt hat. Auch wird hier auf die in der Praxis etablierte Verfahrensweise des Einsatzes von Google Analytics in Deutschland hingewiesen (Kürzung der IP-Adresse; Abschluss eines Vertrages zur Auftragsdatenverarbeitung; Möglichkeit des Opt-out). Diese Lösung könnte, so die Idee der Datenschützer, auf andere Länder übertragen werden.
  • Google sollte zudem die Formulierungen seiner Datenschutzerklärung ändern und keine Begriffe wie „wir können“ verwenden.
  • Nach Ansicht der Art. 29 Gruppe könnte Google seine Datenschutzerklärung mehrschichtig aufbauen. Auf der ersten Ebene allgemeine Informationen mit Verweisen zu speziellen und umfangreicheren Erläuterungen der einzelnen Dienste. Auf der zweiten Ebene dann spezielle Informationen zum Datenumgang bei den einzelnen Diensten.
  • Zudem soll Google Richtlinien zur Datenspeicherung und der Speicherdauer entwickeln. Diese sollten den Datenschutzbehörden vorgelegt werden.

Die Vorgaben bzw. Empfehlungen der Art. 29 Gruppe sind durchaus eine interessante Zusammenstellung an Interpretationen des europäischen Datenschutzrechts und wie sich ein Diensteanbieter wie Google insoweit konform verhalten kann. Dennoch scheinen einige der Vorgaben praktisch kaum umsetzbar bzw. mit dem geltenden Datenschutzrecht nicht begründbar zu sein. Ein Beispiel: die umfassende Aufklärung der Datenverarbeitung allein auf einer Seite. Was ist überhaupt eine „Seite“? DinA4? Gerade Unternehmen wie Google verarbeiten eine große Menge an Daten. Die Verarbeitungsvorgänge sind teilweise nicht in einem Satz darzustellen. Möchte der Anbieter also zumindest ansatzweise umfassend und dazu noch verständlich aufklären, dann benötigt er eben auch einmal mehr als eine „Seite“ an Informationen. Dieses Dilemma ist aber nicht unbedingt neu. Unternehmen möchten umfassend aufklären: dann wird ihnen vorgeworfen, die Datenschutzerklärung sei zu lang und kompliziert. Diensteanbieter straffen die Informationen und reduzieren sie auf die Kernthemen: dann wird ihnen vorgeworfen, dass sie nicht ausreichend aufklären und Nutzer in die Irre führen. Es zeigt sich, dass der Anspruch des Rechts und die Umsetzung in der Praxis doch häufig kaum (oder nur mit massiven Verrenkungen) vereinbar sind.

Google-Urteil: Europäische Datenschützer entwickeln Netzwerk für Beschwerden

Posted on by

Die europäischen Datenschutzbehörden, versammelt in der sog. Artikel 29 Gruppe, haben gestern bekannt gegeben (Pressemitteilung, PDF), dass als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Google aus dem Mai diesen Jahres (C-131/12) , Maßnahmen ergriffen werden sollen, um Beschwerden koordiniert bearbeiten zu können.

Nachdem sich die Vertreter der europäischen Datenschutzbehörden im Juli mit den Anbietern der großen Internetsuchmaschinen in Brüssel trafen (Pressemitteilung, PDF), um über die Folgen und die Umsetzung des Google-Urteils in der Praxis zu beraten, entwickeln die Aufsichtsbehörden nun ein gemeinsames Verfahren, mit dem Beschwerden von Betroffenen bearbeitet werden sollen, deren Antrag auf Entfernung von Suchergebnissen abgelehnt wurde.

Nähere Details des europaweit geplanten Systems der Behörden sind noch nicht bekannt. Laut der Pressemitteilung werden wohl in jedem Land besondere Kontaktpersonen in den Behörden benannt, die den Informationsaustausch und Kontakt mit den Kollegen in ausländischen Datenschutzbehörden sicherstellen sollen. Der Artikel 29 Gruppe geht es vor allem darum, eine einheitliche Herangehensweise zu entwickeln, so dass gleich gelagerte Fälle auch gleich entschieden werden können. Die von den Aufsichtsbehörden anzulegenden Prüfkriterien sollen auf diese Weise vereinheitlicht werden. Innerhalb dieses Netzwerkes soll ein gemeinsames Archiv von Entscheidungen der Behörden in anderen Beschwerdeverfahren vorgehalten werden.

Das, wohl virtuell aufgesetzte System (im Prinzip dürfte es sich um eine gemeinsame Datenbank handeln), soll zudem Bedienelemente und Funktionen enthalten, damit bei einer Beschwerde europaweit nach vergleichbaren Verfahren gesucht werden kann oder neue bzw. besonders schwierige Sachverhalte identifiziert werden können.

Die Artikel 29 Gruppe versucht begrüßenswerter Weise, die Beschwerdeverfahren europaweit soweit als möglich zu vereinheitlichen. Abweichende Entscheidungen zu ähnlich gelagerten Fällen in verschiedenen europäischen Ländern würden bei Betroffenen wohl für Verwirrung sorgen. Auf der anderen Seite muss man auch anerkennen, dass es sich bei den Beschwerden im Rahmen des „Rechts auf Vergessenwerden“ häufig um schwierige und komplexe Abwägungsfragen handeln wird. Eine schablonenhafte Herangehensweise scheint mir insoweit nicht unbedingt durchweg als der richtige Weg. Die vorzunehmende Güterabwägung (Datenschutz einerseits, Meinungsfreiheit und Recht auf Informationszugang anderseits) sollte keinem vorher feststehenden Ergebnis zum Opfer fallen. Die Verständigung auf besonders zu beachtende Kriterien im Rahmen der Abwägung ist sicher nicht verkehrt. Doch sollte mit derartigen Methoden äußerst sorgsam umgegangen werden, wenn man das Grundprinzip einer auf den Einzelfall beschränkten Güterabwägung von kollidierenden Grundrechten nicht langsam abbauen möchte.

Eine kleine Randnotiz: die Artikel 29 Gruppe spricht nicht mehr von dem „Recht auf Vergessenwerden“ (right to be forgotten), sondern von einem Recht „entlistet zu werden“ (right to be de-listed).

IT-Sicherheitsgesetz: Telemedienanbieter dürfen anlasslos speichern

Posted on by

Heute wurde der Referentenentwurf des Bundesinnenministeriums für ein IT-Sicherheitsgesetz (IT-SG) veröffentlicht (PDF). Viele der dort beschriebenen Änderungen beziehen sich auf das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Jedoch sollen auch Änderungen am Telemediengesetz (TMG) vorgenommen werden. Eine dieser Änderungen betrifft die anlasslose Erhebung und Speicherung von Nutzungsdaten. Hierzu soll ein neuer § 15 Abs. 9 TMG-E (S. 18) eingefügt werden.

Hier der Wortlaut:

(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 gilt entsprechend.

Dieser Vorschlag ist nicht neu. Bereits im Jahre 2009 sah der Gesetzentwurf für ein Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BT Drs. 16/11967, PDF) die Ergänzung des TMG um eine identische Regelung vor. Damals wurde die Gesetzesänderung jedoch am Ende nicht vorgenommen. Der Grund: die Eilbedürftigkeit der übrigen Regelungen des Gesetzesentwurfs (so die Beschlussempfehlung und der Bericht des Innenausschusses, BT Drs. 16/13259, PDF).

Nun soll die bereits 2009 anvisierte Änderung doch kommen. Und das ist grundsätzlich auch zu begrüßen. Sinn und Zweck der neuen Vorschrift ist es laut der Begründung zum IT-SG, dass Diensteanbieter die Möglichkeit haben müssen, eine Infektion der von ihnen angebotenen Telemedien mit Schadprogrammen zu erkennen, um entsprechende Schutzmaßnahmen ergreifen zu können (S. 51). Telemediendiensteanbieter sollen in die Lage versetzt werden, rechtmäßig für den Zweck Daten erheben und verwenden zu können, um Angriffe (Denial of Service, Schadprogramme, Veränderung ihrer Werbeangebote von außerhalb) abwehren zu können.

Inhaltlich bezieht sich die geplante Regelung auf Nutzungsdaten (definiert in § 15 Abs. 1 TMG). Hierzu gehören insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Umfasst hiervon ist z. B. auch die IP-Adresse (sei es nun eine solche, die dynamisch oder statisch vergeben wird).

Erlaubt soll die Erhebung und Verwendung der Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen der genutzten technischen Einrichtungen sein. Die Begründung des Referentenentwurfs gibt auch vor, was aus gesetzgeberischer Sicht auf jeden Fall erforderlich ist: die Erhebung und kurzfristige Speicherung und Auswertung der Nutzungsdaten.

Die Erlaubnis des neuen § 15 Abs. 9 TMG-E bezieht sich unter anderem auf das „Erkennen“ von Störungen. Die Erhebung und Verwendung der Daten ist daher nicht erst erlaubt, wenn ein Angriff stattgefunden hat und seine Auswirkungen eintreten. Bereits zum Erkennen von Störungen, also proaktiv, soll die Speicherung der Nutzungsdaten erlaubt sein. Die Gesetzesbegründung des IT-SG trennt ausdrücklich zwischen dem „Erkennen“ und einer nachfolgenden „Abwehr“ von Angriffen. Für die Erlaubnis, bereits proaktiv Nutzungsdaten speichern zu können, spricht auch der Verweis in der Gesetzesbegründung auf § 100 Abs. 1 TKG. Zu dieser Vorschrift hat der BGH erst kürzlich entschieden, dass gegen eine proaktive Speicherung von (dort: dynamischen) IP-Adressen durch Telekommunikationsanbieter für eine Woche keine Bedenken bestehen (vgl. die Meldung bei Heise). Auch im TKG spricht das Gesetz, wie nun in der vorgeschlagenen Anpassung des TMG, vom „Erkennen“ von Störungen oder Fehlern.

Die Frage, welche sich freilich zwangsläufig stellen wird, ist diejenige nach der erlaubten Dauer der Speicherung. Die Gesetzesbegründung spricht von „kurzfristig“, ohne konkretere Vorgaben zu machen. Durch den vorgenommenen Verweis auf § 100 Abs. 1 TKG wird eine einwöchige Speicherung vor dem Hintergrund der aktuellen Rechtsprechung sicherlich erlaubt sein. Der Begriff „kurzfristig“ ist aber meines Erachtens nicht auf diese eine Woche beschränkt. Auch eine längere Speicherung erscheint durchaus möglich. Gerade wenn man sich vor Augen führt, dass die Speicherung grundsätzlich unter der Bedingung der Erforderlichkeit steht. Was jedoch erforderlich ist, um einen Angriff zu erkennen oder abzuwehren, wird sich kaum pauschal für alle Situationen festlegen lassen. Es erscheint daher durchaus möglich, dass die „kurzfristige“ Speicherung auch mehr als eine Woche umfasst.

Die vorgeschlagene Regelung ist nach meinem Dafürhalten richtig und wichtig. Kritiker werden sicher bemängeln, dass auf diesem Wege zumindest eine kleine Vorratsdatenspeicherung im TMG Einzug erhält. Auch hier lässt sich jedoch auf die Argumentation des Bundesgerichtshofs im oben benannten Urteil verweisen. Die Zwecke, warum Daten gespeichert und für welche Zwecke sie genutzt werden dürfen, sind in dem Gesetz aber klar umrissen. Es geht nicht um eine Speicherung für eine spätere Verwendung durch Sicherheitsbehörden. Natürlich lässt sich nicht ausschließen, dass dennoch ein Zugriff in Einzelfällen stattfinden könnte. Die Möglichkeit des Zugriffs wird aber nicht durch das IT-SG geschaffen, sondern durch die gesetzlichen Grundlagen für die Arbeit der Sicherheitsbehörden. Wenn man diese Befugnisse ablehnt, muss man dort ansetzen. Die im IT-SG vorgeschlagene Regelung hat den berechtigten Schutz der Telemediendienste (bzw. den von ihnen genutzten technischen Einrichtungen) und damit auch den Schutz der Nutzer und ihrer Daten im Sinn.

Digitale Agenda: IT-Sicherheit und das liebevoll gestrickte Datenschutzrecht

Posted on by

In der gestrigen Ausgabe der FAZ hat der deutsche Bundesinnenminister, Dr. de Maizière, in einem umfangreichen Beitrag (hier eine kurze Zusammenfassung) zu seiner persönlichen Vorstellung und auch der Aufgabe seines Ministeriums im Politikfeld „Digitale Agenda“ Stellung genommen. Egal wie man zu dem Beitrag und seinen Aussagen inhaltlich steht, lesen sollten ihn jeder, der sich privat oder beruflich mit der Digitalisierung auseinandersetzt.
Der Innenminister erkennt mit Blick auf das Internet und die Digitalisierung derzeit drei wichtige ordnungspolitische Vorhaben für sein Ministerium: Die Verabschiedung eines IT-Sicherheitsgesetzes, die Verabschiedung der Datenschutz-Grundverordnung und intensive Verhandlungen auf internationaler Ebene zur globalen Dimension der Digitalisierung. Die beiden ersten möchte hier etwas näher beleuchten.

Verabschiedung des ersten IT-Sicherheitsgesetzes
Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen, so der Minister, zu den sichersten der Welt werden. Das geplante IT-Sicherheitsgesetz geht diese Woche in die Ressortabstimmung. Inhaltlich sei das Gesetz von folgendem Grundprinzip beseelt: wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken. Diese Idee ist dem Recht nicht fremd. Sie liegt etwa den Verkehrssicherungspflichten zugrunde (wer auf öffentlicher Straße eine Grube gräbt, muss für effiziente Absperrung sorgen). Die Fragen, die sich im Zuge der Diskussionen um das Gesetz stellen könnten, sind diejenigen nach dem erforderlichen Grad des Risikos und wann man ein solches „schafft“? Ist es etwa ausreichend, dass ein Unternehmen einen unverschlüsselten E-Mail Dienst anbietet? Oder einen Internetdienst für hunderttausende Kunden unverschlüsselt betreibt? Reicht dies, um ein Risiko zu schaffen? Muss es sich bei dem Risiko bereits um eine konkrete Gefahr handeln oder ist doch die abstrakte Wahrscheinlichkeit ausreichend? Bestehen also quasi anlasslose Pflichten für Schutzvorkehrungen, weil ein gewisses Grundrisiko nie ganz auszuschließen ist? Zudem wird es wichtig sein zu klären, worauf sich die Risiken beziehen müssen. Allgemein auf die Interessen von Betroffenen oder zumindest doch auf (konkret festgelegte) geschützte Rechtspositionen? Der Innenminister nennt zudem eine Form der Eskalation der Schutzvorkehrungen: je höher das Risiko für die Gesellschaft, desto höhere Anforderungen an die Schutzmaßnahmen.

Gegliedert sind die Pflichten dem Beitrag zufolge nach verschiedenen Branchen der Wirtschaft. Adressaten der Pflichten sind die in diesen Branchen tätigen Unternehmen. Dazu gehören etwa der Bereich Energie, Informationstechnik, Verkehr, Gesundheit und auch das Finanzwesen. Es geht darum, einheitlich Standards innerhalb der Branchen entstehen zu lassen. Der Inhalt der jeweiligen Branchenstandards soll durch die Unternehmen zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet und branchenspezifisch angepasst werden.

Zwar soll für Unternehmen auch grundsätzlich eine Meldepflicht bei Cyber-Angriffen eingeführt werden. Diese kann jedoch, solange es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist, auch anonym an das BSI erfolgen. Diese Initiative scheint aus meiner Sicht durchaus einen positiven Anreiz bereit zu halten. Unternehmen könnten so dazu animiert werden, frühzeitig zu melden und das BSI mit Informationen zu versorgen. Die Frage wird freilich sein, welche Kriterien für die Bestimmung eines „gefährlichen Ausfalls“ oder „einer Beeinträchtigung der kritischen Infrastruktur“ aufgestellt werden und wie einfach diese praxisgerecht von Unternehmen im konkreten Fall als Maßstab anzuwenden sind. Der Anreiz würde wohl verpuffen, wenn es heißt: im Zweifel identifizierende Meldung.

Verabschiedung der Datenschutz-Grundverordnung
Auch befasst sich der Beitrag mit der geplanten Datenschutz-Grundverordnung. Diese besitze „überragende Bedeutung“. Und Herr de Maizière stellt zutreffend fest: „Sie wird unser liebevoll gestricktes deutsches Datenschutzrecht komplett“ ersetzen. Die Verhandlungen hierzu sollten nach dem Innenminister als Chance genutzt werden, um in dem geplanten Gesetz auch Antworten auf Fragen zu geben, die sich mit Blick auf neue Technologien und Phänomene wie Big Data, Cloud-Computing und das Internet der Dinge stellen. Dieser Ansatz ist meines Erachtens zu begrüßen, denn wie der Minister richtig erkennt, sind die derzeit geltenden Regelungen natürlich nicht mehr zeitgemäß. Sie müssen angepasst werden. Dies sollte daher im Rahmen der derzeitigen Verhandlungen erfolgen. Wenn sich die Beratungen aufgrund der Berücksichtigung des technologischen Fortschritts und dem Umgang hiermit im Datenschutzrecht dann „verzögern“ (dieser Vorwurf wird sicherlich erhoben werden), so ist dies nicht negativ zu bewerten und sollte nicht zu gesetzgeberischen Kurzschlussreaktionen führen.

Inhaltlich möchte der Minister neben den bekannten Schutzmechanismen für die Betroffenen (wie Einwilligung und Informationspflichten) weitere Maßnahmen vorsehen, die dann greifen sollen, wenn die bisherigen Konzepte an ihre Grenze stoßen. Er nennt etwa das Beispiel, dass eine Information des Betroffenen verlangt wird, diese jedoch erst erfolgen kann, wenn der Betroffene vorher identifiziert wird. Also eine Datenerhebung um Daten zu schützen. Man wird abwarten müssen, wie die Vorschläge zur Ausgestaltung der Datenschutz-Grundverordnung hier konkret aussehen werden. Der Minister spricht von zusätzlichen Schutzmechanismen, die dann greifen sollen, wenn etwa das Instrument der Einwilligung praktisch nicht mehr umsetzbar ist.

Vorlagefragen an den EuGH: Wie weit reicht der Arm nationaler Datenschutzbehörden?

Posted on by

Der Europäische Gerichtshof (EuGH) ist im Rahmen eines Vorabentscheidungsersuchens (C-230/14) aus Ungarn mit mehreren Fragen befasst, inwieweit die Datenschutzbehörde eines EU-Mitgliedstaates ihre Kontrollbefugnisse auch gegen Webseitenanbieter, die in einem anderen Mitgliedstaat niedergelassen sind, ausüben und durchsetzen kann.

Sachverhalt
Das Unternehmen Weltimmo, mit Sitz in der Slowakei, bietet auf seiner Webseite die Möglichkeit zur Vermittlung von Immobilien an. Auf der Webseite konnten auch ungarische Staatsbürger Anzeigen für Immobilien schalten, die sich in Ungarn befinden. Die für den Dienst verwendeten Server befinden sich wiederum in einem dritten EU-Mitgliedstaat. Dieser Service wurde zunächst kostenlos angeboten, nach einer gewissen Zeit jedoch automatisch in ein kostenpflichtiges Angebot umgewandelt und die Betroffenen wurden zur Kasse gebeten. Zudem konnten Anzeigen mit personenbezogenen Daten nicht gelöscht werden (hier mehr zu dem ursprünglichen Verfahren, Englisch). Gegen diese Praxis wandten sich einige ungarische Staatsbürger und beschwerten sich bei ihrer nationalen Datenschutzbehörde. Diese untersuchte den Vorfall. Sie hielt sich für zuständig und erließ gegen das slowakische Unternehmen einen Bußgeldbescheid wegen der Verletzung ungarischen Datenschutzrechts. Hiergegen wandte sich Weltimmo, in erster Instanz erfolgreich. In der zweiten Instanz wandte sich das ungarische Gericht nun an den EuGH, da einige Fragen zum anwendbaren Recht als auch der aufsichtsbehördlichen Kompetenz bestanden.

Vorlagefragen
Zunächst möchte das Gericht wissen, ob Art. 28 Abs. 1 der Datenschutz-Richtlinie (DS-RL) in dem Sinn auszulegen, dass die nationale Regelung eines Mitgliedstaats (in diesem Fall Ungarn) in dessen Staatsgebiet auf einen für die Datenverarbeitung Verantwortlichen (Weltimmo) anwendbar ist, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist und der eine Webseite zur Vermittlung von Immobilien betreibt und dort unter anderem Immobilien inseriert, die sich im Staatsgebiet des ersten Mitgliedstaats befinden, nachdem deren Eigentümer ihre personenbezogenen Daten an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Art. 28 Abs. 1 DS-RL lautet: „Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Es geht also darum, ob die ungarische Datenschutzbehörde grundsätzlich die Befugnis besitzt, Verstöße gegen ungarisches Datenschutzrecht gegen einen in einem anderen Mitgliedstaat ansässigen für die Verarbeitung Verantwortlichen durchzusetzen. Hintergrund dieser Frage dürfte auch die Regelung des Art. 4 Abs. 1 Buchst. a DS-RL sein, wonach jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der DS-RL erlässt, auf alle Verarbeitungen personenbezogener Daten anwendet, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Hierauf bezieht sich dann auch die zweite Frage des vorlegenden Gerichts. Ist Art. 4 Abs. 1 Buchst. a DS-RL im Lichte ihrer Erwägungsgründe 18 bis 20 und ihres Art. 1 Abs. 2 sowie Art. 28 Abs. 1 dahingehend auszulegen, dass die ungarische Datenschutzbehörde das ungarische Datenschutzgesetz als nationales Recht nicht auf den Betreiber einer Webseite zur Vermittlung von Immobilien (Weltimmo) anwenden darf, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist, selbst dann nicht, wenn dieser unter anderem ungarische Immobilien inseriert, deren Eigentümer die Daten ihrer Immobilien wahrscheinlich vom ungarischen Staatsgebiet aus an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Beide Fragen beziehen sich also vornehmlich auf das anwendbare Datenschutzrecht und wie dieses unter der DS-RL zu bestimmen ist, wenn es um die Beurteilung eines grenzüberschreitenden Sachverhalts (innerhalb der EU) geht. Grundsätzlich bestimmt sich das anwendbare Datenschutzrecht nach den Vorgaben des Art. 4 DS-RL. Art 28 Abs. 1 DS-RL stellt meines Erachtens keine hiervon abweichende Regelungen auf. Diese Vorschrift regelt vielmehr die Kompetenzen der Datenschutzbehörden, nämlich dass sie dazu berufen sind, die Einhaltung der Datenschutzgesetze in ihrem Mitgliedstaat zu überwachen. Welche nationalen Regelungen Anwendung finden, richtet sich jedoch nach Art. 4 DS-RL.

Des Weiteren fragt das vorlegende Gericht danach, ob es für die Auslegung von Bedeutung ist, ob die von dem für die Datenverarbeitung Verantwortlichen und Betreiber der Webseite erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist? Diese Bezugnahme auf das Merkmal des „Ausrichtens“ mag einige Leser an das Google-Urteil des EuGH (C-131/12) vom 13. Mai 2014 erinnern. Der Unterschied dazu ist hier jedoch, dass der für die Verarbeitung Verantwortliche sich innerhalb der EU befindet. Zudem möchte das vorlegende Gericht hier wissen, ob bereits das Ausrichten der Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats von Bedeutung ist. Im Google-Urteil hat der EuGH (anders als dies häufig berichtet wurde) zudem nicht festgestellt, dass allein das Ausrichten einer Webseite oder eines Dienstes entscheidend ist, für die Antwort auf die Frage nach dem anwendbaren Datenschutzrecht. Dort ging es um die Ausrichtung der Tätigkeit der Niederlassung (!) des verantwortlichen.

Meines Erachtens findet sich für das Abstellen allein auf das Ausrichten der angebotenen Dienstleitung in der DS-RL keine Grundlage. Art. 4 Abs. 1 DS-RL bezieht sich entweder auf die Niederlassung des Verantwortlichen (Buchst. a) oder darauf, ob auf in einem Mitgliedstaat belegene Mittel zurückgegriffen wird (Buchst. c).

Das vorlegende Gericht differenziert dann och weiter und möchte wissen, ob es von Bedeutung ist, ob die Daten der in diesem anderen Mitgliedstaat belegenen Immobilien und die personenbezogenen Daten der Eigentümer tatsächlich vom Staatsgebiet dieses anderen Mitgliedstaats (hier Ungarn) aus eingegeben wurden? Auch fragt das Gericht danach, ob es von Bedeutung ist, ob die Eigentümer der in der Slowakei niedergelassenen Gesellschaft einen Wohnsitz in Ungarn haben?

Zuletzt kommt das vorlegende Gericht auf den Aspekt der aufsichtsbehördlichen Kompetenzen zu sprechen. Für den Fall, dass die ungarische Datenschutzbehörde handeln darf, jedoch nur auf der Grundlage des slowakischen Datenschutzrechts (weil nur dieses für den Verantwortlichen gilt), möchte das ungarische Gericht wissen, ob Art. 28 Abs. 6 DS-RL in dem Sinne auszulegen ist, dass die ungarische Datenschutzbehörde ausschließlich – und zwar nach der Regelung des Mitgliedstaats der Niederlassung – diejenigen Befugnisse ausüben kann, die in Art. 28 Abs. 3 DS-RL genannt sind, und dass sie folglich keine Befugnis besitzt, ein Bußgeld zu verhängen?

Art. 28 Abs. 6 DS-RL bestimmt: „Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.“ (Hervorhebung durch mich)

In Art. 28 Abs. 3 DS-RL sind Maßnahmen aufgezählt, die den Datenschutzbehörden zustehen (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagerecht). Nicht ausdrücklich erwähnt ist dort jedoch die Möglichkeit, Bußgelder zu verhängen. Bedeutet der Verweis in Art. 28 Abs. 6 DS-RL auf Abs. 3 nun, dass die ungarische Datenschutzbehörde in diesem Fall allein auf die dort benannten Maßnahmen beschränkt ist, obwohl nach nationalen Recht (sei es dem ungarischen oder dem slowakischen) ein Bußgeld verhängt werden könnte? Dies würde im Endeffekt bedeuten, dass der ungarischen Behörde nur ein Grundgerüst an, aus der DS-RL abgeleiteten und durch sie beschränkte, aufsichtsbehördlichen Maßnahmen zusteht. Nämlich allein diejenigen, die in Art. 28 Abs. 3 DS-RL benannt sind. Soll ein Bußgeld verhängt werden, so dürfte dies allein durch die slowakische Datenschutzbehörde nach slowakischem Recht erfolgen.

EuGH-Generalanwalt zur Rechtmäßigkeit öffentlicher Videoüberwachung durch Private

Posted on by

In einem Vorabentscheidungsersuchen (Rs. C-212/13) des obersten tschechischen Verwaltungsgerichtshofs an den Europäischen Gerichtshof (EuGH) hat am 10. Juli 2014 Generalanwalt (GA) Jääskinen seine Schlussanträge vorgestellt.

In dem Verfahren geht es im Wesentlichen um zwei Fragen zur Auslegung der geltenden Datenschutz-Richtlinie (DS-RL). Zum wann i. S. d. Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL eine Verarbeitung personenbezogener Daten vorliegt, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“ und damit nicht in den Anwendungsbereich der DS-RL fällt (sog. household exemption). Zum anderen wie die Überwachung von öffentlichem Raum durch ein Kamerasystem möglicherweise datenschutzrechtlich rechtmäßig durchgeführt werden kann.

Sachverhalt
Herr Ryneš, der im Verfahren vor dem nationalen Gericht gegen eine Entscheidung der tschechischen Datenschutzbehörde vorgeht, setzte eine fest installierte Kamera an der Außenwand seines Hauses ein, die nicht schwenkbar war. Mit dieser zeichnete er den Eingang seines Hauses, den öffentlichen Straßenraum sowie den Eingang des gegenüberliegenden Hauses auf. Videoaufnahmen wurden auf einer Festplatte gespeichert. Sobald deren maximale Kapazität erreicht war, wurde die vorhandene Aufzeichnung mit einer neuen überschrieben. Die Aufzeichnungsvorrichtung hatte keinen Bildschirm, so dass das Bild nicht in Echtzeit betrachtet werden konnte. Allein Herr Ryneš hatte unmittelbaren Zugang zu der Anlage und den aufgezeichneten Daten. Grund für die Überwachung war der Schutz seines Eigentums, seiner Gesundheit und seines Lebens und seiner Familie. Sowohl er selbst als auch seine Familie waren nämlich während mehrerer Jahre Ziel von Angriffen eines Unbekannten gewesen, der nicht hatte entlarvt werden können. Zudem waren bereits in der Vergangenheit Fenster des Hauses mehrfach eingeschlagen worden. Nach Installation der Kamera wurde erneut eine Fensterscheibe seines des Hauses zerstört. Dank der Videoüberwachungsanlage konnten zwei Verdächtige identifiziert werden. Die Aufzeichnungen wurden der Polizei übergeben und anschließend im Rahmen des Strafverfahrens als Beweismittel vorgelegt. Einer der Verdächtigen beantragte die Überprüfung des Kamerasystems und die Datenschutzbehörde stellte Verstöße gegen das Datenschutzrechts fest.

Videoüberwachung als Vorratsdatenspeicherung?
Der GA betont einleitend zunächst, dass es sich vorliegend um einen speziell zu betrachtenden Einzelfall der Videoüberwachung handelt. Die Merkmale sind die folgenden: fest installiertes Überwachungssystem; auf den öffentlichen Raum sowie die Tür des gegenüberliegenden Hauses gerichtet; es wird ermöglicht, eine unbestimmte Zahl von Personen zu identifizieren; keine vorherige Unterrichtung hinsichtlich der Überwachung. Der GA stellt klar, dass die im Zusammenhang mit Aufzeichnungen durch Mobiltelefone, Camcorder oder Digitalkameras stehenden Rechtsfragen hingegen anderer Art sind und vorliegend nicht behandelt werden.

Sodann zieht der GA zwei interessante Parallelen zum Urteil des EuGH in Sachen Vorratsdatenspeicherung (C-293/12). Zum einen geht der GA davon aus, dass bei Aufzeichnungen dieser Art

[a]us der Gesamtheit dieser Daten … sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert wurden, gezogen werden [können]

Hier zitiert er also wörtlich den EuGH in seinem Vorratsdaten-Urteil und vergleicht die potentielle Gefahrenlase der vorliegenden Videoüberwachung mit derjenigen bei der Vorratsdatenspeicherung. Zum anderen zitiert er den EuGH in seinem Urteil zur Vorratsdatenspeicherung vor dem Hintergrund, dass die

Vorratsspeicherung der Daten zu dem Zweck, sie gegebenenfalls den zuständigen nationalen Behörden zugänglich zu machen, unmittelbar und speziell das Privatleben und damit die durch Art. 7 der Charta garantierten Rechte

betrifft, was auch vorliegend der Fall war.

ausschließlich persönlicher oder familiärer Tätigkeiten
Sodann gelangt der GA zur Hauptfrage des Verfahrens, nämlich der Auslegung des Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL. Der GA weist darauf hin, dass diese Bestimmung grundsätzlich nicht auf den Zweck der Verarbeitung personenbezogener Daten abstellt. In der mündlichen Verhandlung war offensichtlich zwischen den verschiedenen Beteiligten strittig, inwieweit die household exemption von der subjektiven Zielrichtung, die einer Datenverarbeitung zugrunde liegt (also die verfolgte Absicht), abhängt. Diese Ansicht lehnt der GA ab, verweist jedoch darauf, dass die subjektive Zielrichtung im Rahmen der Prüfung der Rechtmäßigkeit der Datenverarbeitung (genauer bei der Abwägung i. R. d. Art. 7 lit. f DS-RL eine Rolle spielen kann). Einzig möglich wäre nach dem GA noch, diese Zielrichtung der Tätigkeit als für den ausschließlich persönlichen oder familiären Charakter der betreffenden Datenverarbeitung maßgeblich anzusehen, um die household exemption eingreifen zu lassen. Auch dies lehnt der GA jedoch ab. Der Anwendungsbereich der DS-RL könne nicht von der subjektiven Zweckbestimmung des für die Verarbeitung Verantwortlichen abhängig sein,

weil eine solche Zweckbestimmung weder anhand äußerer Umstände objektiv nachprüfbar noch den Personen gegenüber relevant ist, deren Rechte und Interessen durch die betreffende Tätigkeit berührt werden.

Der Anwendungsbereich der DS-RL müsse daher allein anhand objektiver Kriterien bestimmt werden.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL ist als Ausnahmebestimmung eng auszulegen. Nach Ansicht des GA handelt es sich bei den „persönlichen Tätigkeiten“ i. S. d. Vorschrift um Tätigkeiten, die in enger und objektiver Verbindung mit dem Privatleben einer Person stehen und die Privatsphäre anderer nicht spürbar berühren. Der GA weist jedoch darauf hin, dass diese Tätigkeiten auch außerhalb der eigenen Wohnung stattfinden können.

Der zweite Begriff, die „familiären Tätigkeiten“, steht nach dem GA mit dem Familienleben in Verbindung und findet normalerweise innerhalb der Wohnung oder anderer von den Mitgliedern der Familie gemeinsam genutzter Orte statt.

Wichtig hierbei ist jedoch, dass es für die Anwendung dieser Ausnahme nicht ausreicht, dass die Tätigkeiten mit persönlichen oder familiären Tätigkeiten nur verbunden sind. Der Wortlaut ist eindeutig. Die Verbindung muss ausschließlich sein. Hier zieht der GA nun sein erstes Fazit:

Ich stelle daher fest, dass die Videoüberwachung anderer, d. h. die systematische Überwachung von Orten mittels einer Vorrichtung, die ein Videosignal zwecks Identifizierung von Personen aufzeichnet, selbst innerhalb eines Hauses nicht als ausschließlich persönlich angesehen werden kann, was aber nicht ausschließt, dass sie unter den Begriff der familiären Tätigkeit fallen kann.

Gerade Maßnahmen zum Schutz der Unverletzlichkeit eines Privathauses und zu dessen Schutz vor Diebstahl und jedem widerrechtlichem Zugang können nach dem GA aber Tätigkeiten darstellen, die für jeden Haushalt wesentlich sind und daher zu den familiären Tätigkeiten gerechnet werden können. Im vorliegenden Fall war diese Voraussetzung jedoch nicht erfüllt. Denn eine Videoüberwachung, die sich wie hier auf den öffentlichen Raum erstreckt, könne nicht als eine ausschließlich familiäre Tätigkeit angesehen werden, weil sie auch Personen erfasst, die eben keine Verbindung zu der betreffenden Familie.

Art. 3 Abs. 2 zweiter Spiegelstrich DS-RL sei daher vorliegend nicht einschlägig. Die Videoüberwachung falle damit in den Anwendungsbereich der DS-RL

Rechtmäßigkeit der Videoüberwachung
In einer ergänzenden Bemerkung führt der GA jedoch aus, dass sich die Rechtmäßigkeit der Datenverarbeitung vorliegend aus Art. 7 lit. f DS-RL ergeben kann. In dessen Rahmen ist eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen erforderlich, die grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Und hier stellt der GA fest, dass die Tätigkeit von Herrn Ryneš dem Schutz seiner Wahrnehmung anderer Grundrechte wie des Eigentumsrechts und des Rechts auf Familienleben diente. Diese berechtigten Interessen müssen daher bei der Abwägung berücksichtigt werden.

Interessanterweise verwendet der GA im Rahmen des Art. 7 lit. f DS-RL und der dort vorgesehenen Abwägung der Rechte und Interessen nicht die Formulierung des EuGH im Google-Urteil (C-131/12), dass „im Allgemeinen” die durch Art. 7 und 8 der Grundrechtecharta der EU geschützten Rechte der betroffenen Person gegenüber dem Interesse der Internetnutzer überwiegen. Im vorliegenden Fall also, dass etwa im Allgemeinen die Rechte der mit der Kamera aufgezeichneten Personen gegenüber dem Betreiber der Kamera überwiegen.

Fazit
Die Schlussanträge des GA überzeugen. Es war abzusehen, dass die household exemption als Ausnahmeregelung eng auszulegen ist. Zudem ist der geltende Wortlaut („ausschließlich“) ziemlich eindeutig. Begrüßenswert ist die Auffassung des GA, dass die Videoüberwachung nicht per se rechtswidrig sein muss, selbst wenn der öffentliche Raum überwacht wird und eine unbestimmte Anzahl von Personen von den Aufnahmen betroffen ist. Die Interessenabwägung ist vielmehr in jedem Einzelfall durchzuführen und bietet durchaus die Möglichkeit, auch solche Datenverarbeitungen zu rechtfertigen, die einen unbestimmten Personenkreis betreffen, ohne dass die Betroffenen hiervon Kenntnis haben.

Recht auf Vergessen – Warum Google nicht überreagiert

Posted on by

Gestern wurde berichtet, dass verschiedene Medienunternehmen (u. a. der Guardian und die BBC) nicht mit der Art und Weise einverstanden sind, wie Google im Zuge der Umsetzung des Urteils des EuGH vom 13. Mai 2014 (Az. C-131/12) begonnen habe, Links aus Suchergebnislisten zu Beiträgen auf ihren Webseiten zu entfernen. Diese Löschungen wurden unter anderem mit der Begründung kritisiert, dass Google hier überreagiere, dass die betroffenen Presseunternehmen nicht die Gründe der Löschung und auch allgemein nicht die Kriterien kennen würden, nach denen Google die Anfragen bearbeite. Zudem könnten sie sich daher auch nicht gegen eine Löschung aus den Ergebnislisten wehren.

Dass sich nun Erstaunen und Verwunderung über diese Praxis breit macht, mag verständlich sein. Wenn man sich jedoch das EuGH-Urteil betrachtet, ist es einfach nur die logische Konsequenz der Vorgaben der europäischen Richter und keine Überraktion oder dergleichen.

Zum einen verlangt weder das EuGH-Urteil noch das geltende Datenschutzrecht, dass Google Dritten, die Urheber der Originalseite sind (in diesem Fall den Presseunternehmen), die Gründe darlegen muss, warum es einen Eintrag aus der Ergebnisliste entfernt. Klar ist vielmehr, dass derartige Löschantrage direkt an den für die Verarbeitung Verantwortlichen gerichtet werden können und von diesem zu prüfen sind. Selbst wenn Google die Kriterien veröffentlichen würde, nach denen es die Anträge beurteilt, so würde dies den Presseunternehmen wohl wenig helfen. Nach dem Urteil des EuGH sind die generell anzulegenden Maßstäbe nämlich vorgegeben: der Ausgleich der sich gegenüberstehenden Interessen kann in „besonders gelagerten Fällen von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information“ abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann. Damit sind die Prüfkriterien öffentlich vorgegeben.

Hier wird jedoch bereits eine negative Konsequenz des EuGH-Urteils deutlich: das Interesse der Öffentlichkeit und auch des Dritten, dass Informationen weiterhin in Ergebnislisten angezeigt werden, hat in dem von Google einzurichtenden Verfahren der Prüfung von Löschanträgen, keinen Vertreter. Beteiligt sind grundsätzlich nur der Betroffene und Google. Der Suchmaschinenbetreiber befindet sich jedoch zudem in der unangenehmen Lage, dass bei einer Nichterfüllung des Löschwunsches, der Betroffene immer noch einen Antrag bei der Datenschutzbehörde oder bei einem Gericht stellen kann. Wollte man verlangen, dass Google sich bei der Prüfung auch in die Lage der Webseitenbetreiber und der Öffentlichkeit versetzt, so würde man dem Suchmaschinenbetreiber eine unabhängige Rolle zusprechen wollen, die er aber nicht besitzt.

Nun könnte man argumentieren, dass Google dann eben in Zweifelsfällen den Eintrag nicht löschen darf, sondern es auf ein Verfahren bei der Datenschutzbehörde oder einem Gericht ankommen lassen muss. Hier kommen wir zu der nächsten, sich in der Praxis negativ auswirkenden Vorgabe des EuGH-Urteils. Denn der Gerichtshof hat klargestellt, dass „im Allgemeinen“ die Rechte der Betroffenen auf Privatsphäre und Datenschutz gegenüber dem Interesse der Internetnutzer am Zugang zu den Informationen überwiegen. Nur „in besonders gelagerten Fällen“ könne ein Ausgleich der verschiedenen Interessen etwa von der Art der Informationen oder deren Sensibilität für das Privatleben der betroffenen Person abhängen. Dies bedeutet freilich nichts anderes, als dass im Zweifel die Löschung der Links in der Ergebnisliste vorgenommen werden muss. Dies ergibt sich bereits aus dem Grundprinzip des hier in Rede stehenden Löschanspruchs. Diese stützt sich unter anderem auf die Erfüllung der Voraussetzung des Art. 7 f) der Datenschutz-Richtlinie (DS-RL), wonach die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Es ist also im Rahmen der Prüfung der Rechtmäßigkeit stets eine Abwägung der Interessen und Grundrechte vorzunehmen. Das ist der gesetzlich vorgesehene Standardfall. Die vom EuGH angesprochenen „besonders gelagerten Fälle“ können daher nicht die Abwägung und damit verbundene Schwierigkeiten an sich betreffen. Denn ansonsten würde der gesetzlich vorgesehene Standardfall zu dem vom EuGH erwähnten besonders gelagerten Fall. Google muss, wenn es dem Urteil des Gerichtshofs folgen will, also gerade auch bei Zweifelsfällen im Rahmen der Abwägung, die nicht besonders gelagert sind, die Einträge in Ergebnislisten löschen. Über diese vorgegebene Wertung zugunsten der Rechte der Betroffenen, mag man sich, meines Erachtens zu Recht, aufregen. Diese Vorgabe besteht aber nun und Google scheint sie umzusetzen. Was sich nun in der Praxis zeigt, sind die Ergebnisse des Anlegens dieser Pro-Datenschutz-Schablone.

Noch ein Gedanke zu der Forderung, dass dann eben die Datenschutzbehörde über derartige Löschanträge und damit auch die Abwägung von dem Recht auf Schutz personenbezogener Daten und dem Recht auf Informationsfreiheit entscheiden solle. Mir ist immer noch nicht klar, wie ein solches Vorgehen und eine damit verbundene Anordnung der Löschung von Links aus Ergebnislisten mit Art. 11 Abs. 1 der Grundrechtecharta der Europäischen Union vereinbar ist. Dort heißt es: „Jede Person hat das Recht…Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben“. Die Löschanordnung durch eine Aufsichtsbehörde würde jedoch genau einen solchen Eingriff in das Recht auf den Empfang von Informationen im Internet darstellen.

Zum Teil wird auch kritisiert, dass Google keine Volljuristen einstelle, um die eingehenden Anträge zu prüfen und die Abwägung vorzunehmen. Eine solche Anforderung ergibt sich weder aus dem EuGH-Urteil, noch aus dem geltenden Datenschutzrecht. Natürlich wäre es wünschenswert, wenn die Abwägung von im Presse- oder Datenschutzrecht versierten Juristen vorgenommen wird. Eine Pflicht hierzu, besteht aber nicht.

Die sich nun ausbreitende Diskussion zeigt, dass der EuGH mit seinem Urteil (wie von mir bereits beschrieben), eventuell doch über das Ziel des erforderlichen Ausgleichs der Grundrechte zwischen Privatsphäre und Datenschutz einerseits, wirtschaftlicher Betätigung und Informationszugang anderseits, hinausgeschossen sein könnte. Wenn man sich als Suchmaschinenbetreiber nun strikt an diese Vorgaben hält, dann wird in der Praxis dieses bisher nur erahnte und sich abstrakt abzeichnende Defizit der Anerkennung einer Gleichwertigkeit von Grundrechten und –freiheiten der beteiligten Parteien im Internet deutlich.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für App-Entwickler und App-Anbieter

Posted on by

Die deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben eine „Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter“ (PDF) im Internet veröffentlicht. Damit möchten die Aufsichtsbehörden auf datenschutzrechtliche und technische Anforderungen bei der Entwicklung und dem Einsatz von mobilen Applikationen hinweisen und den Verantwortlichen auch gleichzeitig einen Leitfaden an die Hand geben. Das immerhin 33 Seiten starke Dokument dürfte sich als durchaus nützliches Nachschlagewerk darstellen, vor allem vor dem Hintergrund, dass man so eine ungefähre Vorstellung davon erhält, welche Ansichten die Aufsichtsbehörden in Bezug auf bestimmte rechtliche Probleme vertreten. Nachfolgend möchte ich auf ein paar Einzelheiten des Dokuments eingehen.

Allgemein
Die Orientierungshilfe bezieht sich allein auf (Online-) Apps fu?r Smartphones und Tablets und nicht etwa auf offline nutzbare Apps oder solche, die Teil des Betriebssystems eines Mobiltelefons sind. Die Datenschützer trennen in ihrer Analyse grundsätzlich zwischen zwei Zielgruppen: App-Entwicklern und App-Anbietern. Jedoch können diese Eigenschaften auch zusammenfallen.

Rechtlicher Anwendungsbereich (räumlich und sachlich)
Hinsichtlich der Bestimmung des anwendbaren Datenschutzrechts ist der Sitz der verantwortlichen Stelle bzw. der für die jeweilige Datenverarbeitung „relevanten Niederlassung“ entscheidend. Befindet sich diese in Deutschland, so gilt deutsches Recht. Sitzt ein App-Anbieter außerhalb des EWR und unterhält er auch keine entsprechend Niederlassung innerhalb des EWR, so gilt deutsches Datenschutzrecht, wenn über die App personenbezogene Daten in Deutschland erhoben und verwendet werden.
In Bezug auf den sachlichen Anwendungsbereich stellen die Aufsichtsbehörden klar, dass sowohl IP-Adressen, als auch Geräte- und Kartenkennungen (z. B. IMEI, IMSI oder MAC-Adresse), Standortdaten und auch Audio- und Fotodaten ihrer Ansicht nach grundsätzlich personenbezogene Daten darstellen und damit den gesetzlichen Regelungen zum Datenschutz unterfallen.

Verantwortlichkeiten
Datenschutzrechtlich verantwortlich ist grundsätzlich der App-Anbieter. Dies gilt gerade auch dann, wenn er die App „nur“ anbietet und nicht selbst entwickelt hat. Der App-Anbieter ist daher auch für Nutzer die erste Anlaufstelle (etwa in Bezug auf Ansprüche zur Löschung von Daten oder der Auskunft. Die Verantwortlichkeit bleibt auch bestehen, wenn der Anbieter die Durchführung der Datenverarbeitung an Dienstleister vergibt. Hier liegt dann eine Auftragsdatenverarbeitung vor. Der Anbieter hat dann auf die Erfüllung der Pflichten aus § 11 BDSG zu achten. Als Beispiel führen die Aufsichtsbehörden etwa an, wenn die Reichweitenmessung und Auswertung durch einen Dienstleister. Wenn sich der Dienstleister in einem Drittstaat (also außerhalb des EWR) befindet, dann bestehen zusätzliche Pflichten, da dann nach dem deutschen Datenschutzrecht eine Übermittlung von Daten vorliegt. Jedoch kann sich die Verantwortlichkeit auch verändern, etwa wenn der App-Entwickler über Weisungen des Anbieters hinausgeht. Dann ist der Entwickler verantwortlich. Als Beispiel führt die Orientierungshilfe die Funktion einer automatisierten Fehlermeldung an, bei der personenbezogene Daten direkt an den Entwickler übersendet werden. Auch der Anbieter eines App-Stores kann datenschutzrechtlich verantwortlich sein, wenn er zusätzliche personenbezogene Daten, z. B. bei der Anmeldung, verarbeitet.

Erlaubnistatbestände
Damit eine Datenverarbeitung rechtmäßig erfolgt, muss sie aufgrund einer Einwilligung oder einer gesetzlichen Vorschrift erlaubt sein. Nach der Orientierungshilfe geht dabei das TMG als bereichsspezifisches Gesetz (vor allem wenn es um Diensteebene geht, also für Bereitstellung des Dienstes) den allgemeinen Bestimmungen des BDSG vor. Im TMG wird zwischen Bestandsdaten (§ 14 TMG) und Nutzungsdaten (§ 15 TMG) unterschieden. § 14 TMG legitimiert eine Verarbeitung, wenn diese zur Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich ist. Die Datenschützer stellen klar, dass es für die Frage, welche personenbezogenen Daten konkret für diese Zwecke erforderlich sind, durch den jeweiligen Nutzungsvertrag bestimmt wird, der zwischen dem Diensteanbieter und dem Nutzer abgeschlossen wird. Nach § 15 TMG ist eine Datenverarbeitung erlaubt, wenn diese erforderlich ist, um die Inanspruchnahme des Dienstes zu ermöglichen. Hierunter fallen nach der Orientierungshilfe personenbezogene Daten, welche notwendigerweise zur Nutzung der App durch den Diensteanbieter erhoben und verwendet werden müssen, wie z.B. die IP-Adresse oder eindeutige Kennnummern oder der Standort. Die Datenverarbeitung von Inhaltsdaten erfolgt jedoch nach dem BDSG.

Profilbildung
Nutzungsprofile dürfen auch bei dem Betrieb von Apps erstellt werden. Die Regelung des § 15 Abs. 3 TMG berechtigt jedoch nur den Diensteanbieter selbst oder seine Auftragnehmer zur Erstellung pseudonymisierter Nutzerprofile zu Werbezwecken. Die Datenschützer stellen klar, dass Dritte hiervon nicht erfasst werden. Zudem müssen Nutzer auf die Möglichkeit zu widersprechen hingewiesen werden. Dies muss nach Ansicht der Aufsichtsbehörden zumindest im Rahmen der Datenschutzerklärung geschehen. Jedoch weisen die Datenschützer auch daraufhin, dass etwa eindeutige Geräte- und Kartenkennungen wie die IMEI-Nummer oder auch die IP-Adresse kein Pseudonym darstellen. Diese Daten dürfen daher auch nicht in das Nutzungsprofil einfließen. Für die Ausübung des Widerspruchrechts sollte eine direkte Opt-Out Möglichkeit (Link, Möglichkeit des Auskreuzens) für den Nutzer vorgehalten werden, welche nach Ansicht der Datenschützer mit möglichst einem Klick aktiviert werden kann. Hierbei genügt es jedoch nicht, die Möglichkeit bereitzuhalten per E-Mail oder postalisch einer Nutzungsprofilerstellung gem. § 15 Abs. 3 TMG zu widersprechen. Interessant ist die Ansicht der Datenschützer, dass wenn ein Nutzer durch besondere Einstellungen auf seinem Endgerät signalisiert, dass er eine Verarbeitung seiner Nutzungsdaten für Werbezwecke nicht wünscht, auch diese Erklärung als Widerspruch zu werten und durch den Diensteanbieter zu beachten ist.

Einwilligung
Zur Einwilligung führt die Orientierungshilfe aus, dass nach § 4a BDSG neben der Freiwilligkeit und Informiertheit der Einwilligung grundsätzlich auch die Schriftform erforderlich sei. Zwar sehe§ 4a Abs. 1 S. 3 BDSG eine Ausnahme vom Schriftformerfordernis vor, wenn wegen besonderer Umstände eine andere Form angemessen ist. Solche besonderen Umstände liegen nach Ansicht der Aufsichtsbehörden jedoch nicht generell dann vor, wenn eine Einwilligung (außerhalb des TMG, denn hier ist eine elektronische Abgabe möglich) bei der Nutzung einer App eingeholt werden soll. Die Datenschützer verneinen die Möglichkeit einer entsprechenden Anwendung des § 13 Abs. 2, 3 TMG auf Einwilligungen außerhalb des TMG. Es bedürfe daher entweder der Schriftform, der elektronischen Form gem. § 126a BGB oder besonderer Umstände, welche zur Angemessenheit einer anderen Form als der Schriftform fuhren.

Weitere Themen
Die Orientierungshilfe geht noch auf viele weitere wichtige Themen im Bereich des Datenschutzrechts ein. So werden etwa Datenschutzgrundsätze wie die Direkterhebung (hier vor allem in Bezug auf die Verarbeitung von Daten Dritter über ein Adressbuch), die Datenvermeidung, die Möglichkeit der anonymen oder pseudonymen Nutzung nach 13 Abs. 6 TMG, die Zweckbindung oder die Erforderlichkeit der Datenverarbeitung (so muss sich etwa die Speicherdauer eines jeden personenbezogenen Datums am Grundsatz der Erforderlichkeit messen lassen) angesprochen. Zudem weisen die Datenschützer daraufhin, dass bereits in der Entwicklungsphase einer App den Prinzipien des „Privacy by Design“ und „Privacy by Default“ Rechnung getragen werden sollte.
Auch das Thema „Impressum“ wird angesprochen, ebenso natürlich wie die Notwendigkeit einer Datenschutzerklärung. Diese muss nach Ansicht der Aufsichtsbehörden App-spezifisch ausgestaltet sein, also genügt eine einfache Verknüpfung mit den Datenschutzhinweisen eines ähnlichen oder alternativen Webangebotes des gleichen Anbieters nicht den Ansprüchen an eine Unterrichtung nach den Vorschriften des TMG.

Auch geht die Orientierungshilfe noch auf die möglichen Konsequenzen aus einer rechtswidrigen Datenverarbeitung ein (Ordnungswidrigkeiten oder sogar Straftaten).

Zuletzt werden noch ein paar Besonderheiten von speziellen Formen von Apps und mobilen Diensten angesprochen, so etwa bei Zahlungen über Apps, der Nutzung der Applikationen durch Kinder und Jugendliche oder auch Apps von öffentlichen Stellen.

Fazit
Die Orientierungshilfe bietet einen guten ersten Überblick über rechtliche Probleme, die bei der Entwicklung und dem Angebot von Apps zu beachten sind. Der Leitfaden kann freilich nicht eine genau Analyse und Anpassung, insbesondere ist hier an die Datenschutzerklärung zu denken, ersetzen. Es ist zu begrüßen, dass die Aufsichtsbehörden hier proaktiv tätig werden und ihre Ansichten zu verschiedenen rechtlichen Fragen auf dem Gebiet der Apps darlegen.

Fußball-WM: Apps ziehen persönliche Daten ab

Posted on by

Da nun seit ein paar Tagen die Fußball-WM in Brasilien läuft, erfreuen sich auch Apps für Mobiltelefone großer Beliebtheit, die Informationen zu den Spielen und dem Turnier bereithalten.

Dass nicht all diese Apps mit Blick auf den Datenschutz unbedingt zu empfehlen sind, zeigt nun eine Untersuchung des Unternehmens Zscaler.

Dort hat man eine WM-App aus dem Google Play-Store untersucht (Brazil 2014 World Cup) und festgestellt, dass diese unter anderem auf

  • die Telefonnummer,
  • die MAC-Adresse,
  • die E-Mail-Adresse

auf den Mobiltelefonen zugreift.

In der Datenschutzerklärung der App im Google Play-Store wird von dem Anbieter darauf hingewiesen, dass man grundsätzlich keine personenbezogenen Daten speichern  und auf die Informationen auf dem Telefon nur im Rahmen der erteilten Genehmigungen zugreifen würde. Als solche einzuräumenden Zugriffsrechte sind dort der Zugriff auf den Kalender sowie die Möglichkeit des Speicherns von Terminen angegeben, etwa um den Nutzer auf ein Fußballspiel hinzuweisen.

Über die durch Zscaler im Code der App festgestellten Zugriffe wird dort nicht aufgeklärt.

Pikant ist zudem, dass eine Nutzung der MAC-Adressen durch Apps (etwa um hierüber Werbung auszuspielen) über die Bestimmungen des Google Play-Stores eigentlich ausdrücklich verboten ist.

Für Nutzer stellt sich freilich das Problem, dass man ohne einen geschulten Blick in den Code der App diese Datenzugriffe wohl kaum bemerken wird. Allein auf die Nutzerbewertung zu vertrauen wird auch nicht immer helfen, denn die von Zscaler geprüfte App hat ein durchaus positives Voting erhalten.