Datenschutzreform: Bundesratsausschüsse kritisieren Gesetzesentwurf der Bundesregierung zum neuen BDSG

Sieben Ausschüsse des Bundesrates haben sich mit dem „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und -Umsetzungsgesetz EU -DSAnpUG-EU, PDF)“ vom 2. Februar 2017 befasst und mit Datum vom 1. März 2017 ihre Empfehlungen zum Gesetzentwurf für ein neues BDSG abgegeben (Empfehlungen, BR Drs. 110/1/17, PDF).

Insgesamt finden die Ausschüsse wenig Gutes an dem Gesetzentwurf. Die Empfehlungen sind umfangreich (64 Seiten). Nachfolgend möchte ich nur beispielhaft einige Kritikpunkte der Bundesratsausschüsse beleuchten. Die Empfehlungen der Ausschüsse werden bereits nächste Woche, am 10. März 2017, im Bundesrat beraten.

Der zweite Schritt vor dem ersten

Ganz grundsätzlich kritisieren die Ausschüsse, dass eine umfassende Bewertung der vorgeschlagenen Neufassung des BDSG nicht möglich ist, da erforderliche Anpassungen des vorrangigen Fachrechts (also datenschutzrechtlicher Spezialvorschriften) bislang weder erfolgt noch konkret absehbar sind.

Auch die Praxis wird durch dieses Vorgehen vor erhebliche Schwierigkeiten gestellt. Denn dort müssen Verarbeitungsvorgänge an die Anforderungen anpasst werde. Doch wenn diese Anforderungen unklar bleiben, wird eine rechtssichere Umsetzung nur schwer möglich sein.

Aus Sicht der Ausschüsse lässt sich die Situation wie folgt darstellen:

Ansatz, bei dem der zweite Schritt vor dem ersten vollzogen wird.

Datenportabilität beschränken?

Die Ausschüsse schlagen vor, dass die Bundesregierung prüft, inwieweit ein Bedarf für eine Beschränkung des Rechts auf Datenübertragbarkeit gemäß Art. 20 DSGVO besteht. Nach Auffassung der Ausschüsse werden nämlich im Gesetzentwurf, Im Gegensatz zum Recht auf Auskunft, das in § 34 BDSG-E eine Beschränkung erfährt, das Recht auf Datenportabilität trotz seiner funktionalen Nähe zum Recht auf Auskunft bislang keine entsprechenden Beschränkungen vorgesehen.

Diese Kritik mag man verstehen, jedoch sehe ich nicht derart große Parallelen zum Auskunftsrecht, dass auch die Datenportabilität aus diesem Grund beschränkt werden müsste. Inhaltlich unterscheiden sich beide Rechte dann doch an einige Stellen. So besteht das Recht auf Datenportabilität etwa nur für durch die Person „bereitgestellte“ Daten, das Auskunftsrecht aber allgemein.

Definition „Anonymisieren“

Die Ausschüsse schlagen zudem die Aufnahme eines neuen § 2 Abs. 6 BDSG-E vor. In diesem Absatz soll das „Anonymisieren“ definiert werden. Hintergrund ist, dass § 27 Absatz 3 BDSG-E den Begriff „anonymisieren“ verwendet, dieser aber weder im Gesetzentwurf noch in der DSGVO definiert wird. Vielmehr wird nur „pseudonymisieren“ in der DSGVO verwendet und in Art. 4 Nr. 5 DSGVO definiert. Die vorgeschlagene Definition entspreche dem Verständnis des Begriffs im bisherigen § 3 Abs. 6a BDSG.

Vertretung im Europäischen Datenschutzausschuss und Verfahren der Zusammenarbeit der Aufsichtsbehörden

Die Bundesratsausschüsse sprechen sich zudem für eine Anpassung der Regelungen zur Vertretung Deutschlands im Europäischen Datenschutzausschuss (EDA) aus. Nach Auffassung der Ausschüsse räumt die Ausgestaltung des Verfahrens hinsichtlich der Vertretung der Bundesrepublik Deutschland im Europäischen Datenschutzausschuss im Gesetzentwurf (§ 17 und 18 BDSG-E) den Aufsichtsbehörden der Länder kein hinreichendes Gewicht ein. Die Ausschüsse verlangen, dass die Position der Landesdatenschutzbeauftragten im Hinblick auf deren Hauptvollzugsverantwortung des Datenschutzrechts in Deutschland gestärkt wird.

Nach Auffassung der Ausschüsse spricht der Umstand, dass der Bund für ein Sachgebiet die ausschließliche oder konkurrierende Gesetzgebungskompetenz besitzt, in keiner Weise dafür, dass die Bundesbeauftragte die Bundesrepublik Deutschland insoweit verhandlungsführend im Europäischen Datenschutzausschuss vertreten sollte, wenn der Vollzug dieses Gesetzes allein den Landesdatenschutzbeauftragten obliegt. Insbesondere werden es nämlich auch in Zukunft die Landesbehörden sein, die sich in ihrer Praxis mit privaten Unternehmen auseinanderzusetzen haben. Eine vergleichbare Sachnähe könne es bei der oder dem Bundesbeauftragten naturgemäß nicht geben.

Die vorgeschlagenen Änderungen sind durchaus nachvollziehbar. Man darf wohl auch in einer Analyse des Bundesrates eine landesnahe Auffassung erwarten. Zurecht dürfte aber die Kritik vorgebracht werden, dass in der praktischen Umsetzung und Überwachung der Einhaltung des Datenschutzes die Landesbehörden mehr Erfahrung besitzen als die BfDI.

Zweckändernde Datenverarbeitung

In § 24 Abs. 1 Nr. 2 BDSG-E soll das Wort „rechtlicher“ durch das Wort „zivilrechtlicher“ ersetzt werden.

Dort ist derzeit vorgesehen, dass die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nicht-öffentliche Stellen zulässig ist, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.

Hintergrund der vorgeschlagenen Anpassung ist, dass Art. 23 Abs. 1 lit. j) DSGVO, der Vorgaben dazu macht, zur Sicherstellung welcher Maßnahmen Beschränkungen der Betroffenenrechte im nationalen Recht vorgenommen werden dürfen, nur von „zivilrechtlichen“ und nicht weiter von „rechtlichen“ Ansprüchen spricht.

Des Weiteren sollen in § 24 Abs. 1 Nr. 2 BDSG-E nach dem Wort „Ansprüche“ die Wörter „gegenüber der betroffenen Person“ eingefügt werden. Hintergrund dieses Vorschlages der Ausschüsse ist, dass in § 24 BDSG-E eine rechtliche Grundlage für nicht-öffentliche Stellen geschaffen wird, die es ihnen erlaubt, eine Weiterverarbeitung von personenbezogenen Daten unabhängig davon vorzunehmen, ob die Zwecke der Verarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, vereinbar sind.

Nach Auffassung der Ausschüsse ist diese Regelung für Verbraucherinnen und Verbraucher von besonderer Bedeutung. Die Ausschüsse kritisieren, dass es die Regelung in § 24 BDSG-E

beispielsweise Unternehmen der Digitalwirtschaft ermöglicht, ohne Einwilligung der betroffenen Verbraucherinnen und Verbraucher eine Weiterverarbeitung der personenbezogenen Daten mit dem Hinweis darauf vorzunehmen, diese Daten würden zur „Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche“ gegenüber Dritten (zum Beispieleinem Geschäftspartner) gebraucht.

Nach Ansicht der Ausschüsse können nicht betroffene Verbraucher dafür verantwortlich gemacht werden, wenn Unternehmen ihre personenbezogenen Daten für die Durchsetzung zivilrechtlicher Ansprüche im Verhältnis zu Dritten benötigen. Deshalb sollte eine Weiterverarbeitung der personenbezogenen Daten zu anderen Zwecken nur erlaubt sein, wenn rechtliche Ansprüche des Unternehmens gegenüber der betroffenen Person selbst in Rede stehen.

Diesbezüglich ließe sich aber anführen, dass die entsprechenden Vorgaben der DSGVO (Art. 6 Abs. 4 und Art 23 Abs. 1 lit. j)) auch nur „Ansprüche“ erwähnen. Nicht jedoch solche, die gegenüber der betroffenen Person bestehen.

Beschäftigtendatenschutz

Natürlich wird von den Ausschüssen auch der Beschäftigtendatenschutz angesprochen. Nach deren Auffassung waren bereits die geltenden Regelungen zum Beschäftigtendatenschutz in § 32 BDSG ergänzungs-und überarbeitungsbedürftig. Nun ergeben sich aber weitere Anforderungen an den Gesetzgeber aus Art. 88 DSGVO.

Nach Auffassung der Bundesratsausschüsse werden diese aber durch § 26 BDSG-E nicht ausreichend umgesetzt. Daher fordern die Ausschüsse, dass zeitnah ein ergänzender Gesetzentwurf mit spezifischen Regelungen für Datenverarbeitung im Beschäftigtenkontext vorgelegt wird.

Fortgeltung bereits erteilter Einwilligungen?

Die Ausschüsse des Bundesrates scheinen zu bezweifeln, dass derzeit erteilte datenschutzrechtliche Einwilligungen auch nach Anwendbarkeit der DSGVO im Mai 2018 weiter wirksam sind.

Sie bitten die Bundesregierung daher um Prüfung einer gesetzlichen Klarstellung, unter welchen Voraussetzungen die bereits vor Inkrafttreten des Gesetzes erteilten Einwilligungen nicht fortgelten. Die Ausschüsse verweisen berechtigterweise darauf, dass die Voraussetzungen für eine wirksame Einwilligung nach der DSGVO nicht den Regelungen im BDSG entsprechen und teilweise darüber hinausgehen. Daher müssen Unternehmen unter Umständen eine erneute Einwilligung bei den Betroffenen einholen.

Zwar verweisen die Ausschüsse auf den Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016), der zwar tendenziell von einer Fortgeltung alter Einwilligung ausging. Dies jedoch auch nur unter dem Vorbehalt der „Grundsätzlichkeit“.

Streichen des Erfordernisses der Schriftlichkeit

Die Bundesratsausschüsse fordern zudem, dass geprüft werde, inwieweit vom Erfordernis der Schriftlichkeit der anzufertigenden Dokumentationen durch datenverarbeitende Stelle abgesehen werden kann.

In §§ 32 und 33 BDSG-E ist derzeit schriftliche Dokumentationspflichten für den Fall vorgesehen, wenn der Verantwortliche von einer Information des Betroffenen abgesehen hat. Dieses Erfordernis der schriftlichen Dokumentation geht aber über die Vorgaben der DSGVO hinaus. Diese sieht in Art. 12 Abs. 4 DSGVO nur vor, dass der Verantwortliche die betroffene Person (ohne spezielle Form) unterrichtet. Die derzeit vorgeschlagene Dokumentationspflicht im BDSG-E würde nach Auffassung der Ausschüsse zusätzlichen Erfüllungsaufwand für die Wirtschaft mit sich bringen.

Man muss nun abwarten, welche Empfehlungen konkret in der nächsten Sitzung des Bundesrates angenommen werden. Der Umfang der Anmerkungen und auch die Reichweite der Kritik zeigt aber, dass man in einigen Aspekten noch weit voneinander entfernt ist. Zudem muss beachtet werden, dass der Gesetzesentwurf nun auch im Bundestag liegt und dort (wohl im Innenausschuss) einer Analyse unterzogen wird.

Gesetzentwurf zum automatisierten Fahren – Datenschutzrechtlich mangelhaft

Am 27. Januar 2017 hat das Bundeskabinett einen Gesetzesentwurf zur Anpassung des Straßenverkehrsgesetzes (StVG) beschlossen, um Regelungen für hoch- oder vollautomatisierte Fahrsysteme in KfZ zu schaffen. Zu dem Gesetzentwurf (PDF) habe ich hier einen kurzen allgemeinen Überblick gegeben.

Nachfolgend möchte ich mich etwas spezieller mit den datenschutzrechtlichen Implikationen des Vorschlags, dem neuen § 63a StVG-E, befassen. Um es vorwegzunehmen: meines Erachtens bietet der Entwurf eine datenschutzrechtliche Angriffspunkte.

Auch auf die Gefahr hin, zu pedantisch zu erscheinen, sollte man überlegen, die neue Überschrift „Abschnitt VIa Datenverarbeitung im Kraftfahrzeug“ anzupassen. Denn im nachfolgenden § 63a StVG-E geht es gerade nicht nur um Datenverarbeitungen im Kfz, sondern auch um den Umgang mit den Daten aus dem Speicher des Fahrzeugs durch Dritte.

 § 63a Datenverarbeitung bei Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion

(1) Kraftfahrzeuge mit hoch- oder vollautomatisierter Fahrfunktion gemäß § 1a zeichnen nach dem Stand der Technik entsprechend der internationalen Vorgaben jeweils auf, ob das Kraftfahrzeug durch den Fahrzeugführer oder mittels hoch- oder vollautomatisierter Fahrfunktionen gesteuert wird. Wird der Fahrzeugführer durch das hoch- oder vollautomatisierte System gemäß § 1a aufgefordert, die Fahrzeugsteuerung zu übernehmen, oder tritt eine technische Störung des hoch- oder vollautomatisierten Systems auf, findet gleichfalls eine Aufzeichnung nach dem Stand der Technik entsprechend den internationalen Vorgaben statt. (Hervorhebungen durch mich)

Der Gesetzgeber scheint davon auszugehen, dass das Kfz Daten aufzeichnet. Dies mag technisch zutreffend sein, wenn man davon ausgeht, dass in jedem Fahrzeug ein entsprechender Speicher eingebaut wird (werden muss). Datenschutzrechtlich würde man sich aber in jedem Fall die Frage stellen, wer konkret verpflichtet ist, die (personenbezogenen) Daten in dem Speicher aufzuzeichnen. Wer also, entsprechend der Definition in § 3 Abs. 7 BDSG die „verantwortliche Stelle“ ist. Nach § 3 Abs. 7 BDSG kann dies nur eine natürliche oder juristische Person oder Stelle sein. Das Kfz als Sache scheidet also aus. Da der Fahrzeugführer keinen Einfluss auf die Mittel der Speicherung der Daten (als die technischen Gegebenheiten) haben wird, dürfte der Schluss naheliegen, dass der Fahrzeughersteller als datenschutzrechtlich verantwortliche Stelle für die Speicherung anzusehen ist. Klar wird dies im Gesetzentwurf aber nicht. Der Fahrzeugführer hat keinen Einfluss darauf, welche Daten konkret und wie diese gespeichert werden.

 (2) Die gemäß Absatz 1 aufgezeichneten Daten sind den nach Landesrecht für die Überwachung des Straßenverkehrs zuständigen Behörden auf deren Verlangen zu übermitteln. (Hervorhebungen durch mich)

In § 63a Abs. 2 S. 1 StVG-E geht es dem klaren Wortlaut nach um eine Übermittlung der Daten aus dem Speicher an Behörden. Auch hier schließt sich aber die bereits oben aufgeworfene Frage an, wer für die Übermittlung der Daten aus dem Speicher datenschutzrechtlich verantwortlich ist? Auch hier ließe sich an den Fahrzeughersteller denken. Der Fahrzeugführer selbst hat keinen Einfluss auf die Übermittlung auf dem Speicher an die Behörden.

Zudem ist zu beachten, dass von einer „Übermittlung“ ausgegangen wird. Das bedeutet, dass die datenempfangende Stelle datenschutzrechtlich ein „Dritter“ sein muss (vgl. § 3 Abs. 4 S. 3 BDSG).

 Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden. Der Umfang der Datenübermittlung ist auf das Maß zu beschränken, das für den Zweck der Feststellung des Absatzes 1 im Zusammenhang mit der eingeleiteten Kontrolle durch diese Behörden notwendige ist. Davon unberührt bleiben die allgemeinen Regelungen zur Verarbeitung personenbezogener Daten. (Hervorhebungen durch mich)

 Nach § 63a Abs. 2 S. 2 StVG-E dürfen die aus dem Speicher übermittelten Daten durch „diese“ gespeichert und genutzt werden. Mit „diese“ kann nur aus S. 1 und die Behörde Bezug genommen sein. Es stellt sich aber die Frage, für welche Zwecke die Behörde die Daten verwenden darf? Dies wird in S. 2 nicht erläutert.

Zwar wird zumindest grob in S. 3 ein Zweck beschrieben („Zweck der Feststellung des Absatzes 1“). Jedoch bezieht sich diese Zweckbestimmung allein auf die in S. 3 angesprochene Datenübermittlung und deren Umfang. Es fehlt an einem verbindenden Element zu S. 2 und der Speicherung und Nutzung.

Nun mag man sich fragen, ob sich der Zweck der Datenverwendung denn nicht aus dem Zusammenhang ergebe. Dies kann man evtl. so sehen. Jedoch könnte diese Ungenauigkeit im Gesetz spätestes ab Mai 2018, wenn die Datenschutz-Grundverordnung anwendbar ist, dazu führen, dass die nationalen Regelungen gegen die Vorgaben von Art. 6 Abs. 2 und 3 DSGVO verstoßen. Art. 6 Abs. 3 DSGVO dürfte wohl den Maßstab für die hier in Rede stehenden gesetzlichen Erlaubnistatbestände der Datenverarbeitung durch Behörden darstellen. Nach Art. 6 Abs. 3 DSGVO wird die Rechtsgrundlage für die Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO), durch das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt. In dieser Rechtsgrundlage muss aber entweder der Zweck der Verarbeitung angegeben sein (der hier für die Speicherung und Nutzung fehlt) oder die Verarbeitung muss für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Man mag nun argumentieren, dass die Speicherung und Nutzung (§ 63a Abs. 2 S. 2 StVG-E) der Daten für die Erfüllung einer Aufgabe erforderlich sind, die in Ausübung öffentlicher Gewalt erfolgt. Hier kann man aber schon fragen, was konkret diese Aufgabe (mit Blick auf die Speicherung und Nutzung der Daten) ist. Wie gesagt, der „Zweck der Feststellung“ bezieht sich nur auf die Datenübermittlung. Dann ist jedoch immer noch die Vorgabe des Art. 6 Abs. 2 DSGVO zu beachten, nach dem national spezifischere Bestimmungen zur Anpassung der Anwendung u.a. von Art. 6 Abs. 1 lit. e) DSGVO eingeführt werden dürfen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung gewährleisten. Zu den Grundsätzen „Treu und Glauben“ und „Rechtmäßigkeit“ zählt auch die Transparenz der Datenverarbeitung gegenüber betroffenen Personen. Diese müssen wissen, für welche Zwecke Daten verarbeitet werden (vgl. auch ErwG 39 DSGVO). Ob diese Anforderungen hier erfüllt sind, darüber mag man diskutieren.

Begründung zum Gesetzentwurf, S. 22:

Absatz 2 des § 63a StVG (neu) regelt die Übermittlung und Verarbeitung der aufgezeichneten Daten für Kontrollen. Daneben bleibt das Zugangsregime nach anderen Vorschriften, wie zum Beispiel der Strafprozeßordnung (StPO) unberührt. Die Verpflichtung zur Übermittlung der Daten trifft den Datenverantwortlichen. (Hervorhebungen durch mich)

Hieraus könnte man zwar die Zwecke der Verarbeitung durch Behörden ableiten. Jedoch muss kritisch angemerkt werden, dass die Zwecke nicht im Gesetz selbst erwähnt sind.

Völlig unklar ist, wen der Gesetzgeber mit dem „Datenverantwortlichen“ meint. Dieser soll zur Übermittlung verpflichtet sein. Handelt es sich hierbei um die „verantwortliche Stelle“ des BDSG? Ist der Datenverantwortliche also z. B. der Fahrzeughersteller?  Leider bleiben diese Fragen unbeantwortet.

(3) Dritten sind die gemäß Absatz 1 gespeicherten Daten zu übermitteln, wenn sie glaubhaft machen, dass

1. die Daten zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis erforderlich sind und

2. das entsprechende Kraftfahrzeug mit automatisierter Fahrfunktion an diesem Ereignis beteiligt war. Absatz 2 Satz 2 findet entsprechend Anwendung. (Hervorhebungen durch mich)

 Nach § 63a Abs. 3 S. 1 StVG-E sollen die Daten auch noch an andere „Dritte“ übermittelt werden. Auch die in Abs. 2 referenzierten Behörden sind Dritte (siehe oben). Es stellt sich dann aber die Frage, welcher qualitative Unterschied zwischen den Dritten in Abs. 2 und Abs. 3 besteht. Oder ob ein solcher überhaupt existiert? Gilt Abs. 3 also evtl. auch für Behörden?

Dies mag man mit dem Argument ablehnen, dass doch klar sei, dass es hier in Abs. 3 um den am Unfall Beteiligten gehe. So klar ist dies meines Erachtens jedoch nicht. Denn aus dem Wortlaut ergibt sich nicht, dass der Dritte selbst einen Anspruch geltend machen muss. Die Daten müssen allgemein einfach zur Geltendmachung erforderlich sein, jedoch nicht notwendigerweise durch den die Daten empfangenden Dritten.

Begründung zum Gesetzentwurf, S. 22:

Absatz 3 gibt Beteiligten an einem Unfall (Dritte), in dem potenziell Fahrzeuge mit automatisierten Systemen verwickelt sind, die Möglichkeit, die aufgezeichneten Daten zu erhalten. (Hervorhebungen durch mich)

Mit dieser Begründung wird klarer, dass es sich bei dem Dritten um am Unfall Beteiligte handelt. Wie gesagt, lässt sich dies dem Wortlaut des Gesetzes aber nicht entnehmen.

Auch in Abs. 3 stellt sich erneut die Frage, wer denn datenschutzrechtlich für die Übermittlung verantwortlich ist? Die Gesetzesbegründung (siehe oben) bezieht sich nur auf Abs. 2.

Nach § 63a Abs. 3 S. 2 StVG-E soll „Absatz 2 Satz 2“ entsprechend Anwendung finden. Dort heißt es: „Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden“. Auch hier fehlt also erneut eine Zweckbestimmung für die Speicherung und Nutzung der Daten bei den Dritten. Die Vorschrift endet schlicht mit der Anordnung der Übermittlung.

Zuletzt: dass es sich bei den Informationen in dem internen Speicher im Kfz um personenbezogene Daten handelt, dürfte wohl kaum bestreitbar sein. Hierfür sprechen auch mehrere Hinweise im Gesetzentwurf selbst, wenn etwa von dem eindeutigen „Identifikationsdatum des Speichermediums (Speicher-ID)“ gesprochen wird, das beim Kraftfahrt-Bundesamt ergänzt werden muss. Die Zulassungsbehörden müssen etwa auch zusätzlich das eindeutige Identifikationsdatum des Speichermediums (Speicher-ID) erfassen (S. 15).

Kundentracking im Shopping-Center – Schweizer Datenschutzbehörde veröffentlicht Leitlinien

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat auf seiner Webseite eine Einschätzung zum Betrieb von Personentrackingsystemen veröffentlicht, die, wenn auch das Datenschutzrecht in der Schweiz keine direkte Umsetzung der europäischen Datenschutzrichtlinie darstellt, für die Anwendung des europäischen und deutschen Datenschutzrechts in solchen Szenarien interessant ist. Denn viele Vorgaben des schweizerischen Datenschutzrechts sind mit jenen des europäischen und deutschen Datenschutzrechts vergleichbar.

In seiner Analyse stellt der EDÖB zwei Varianten des Personentrackings dar und verweist darauf, dass die Variante, in der man an einem bestimmten Ort (z.B. am Eingang eines Einkaufszentrums oder auf der Autobahneinfahrt) bestimmte Merkmale der passierenden Objekte so erfasst, dass man sie an nachfolgenden Kontrollpunkten wiedererkennen und deren Bewegungen nachvollziehen kann, in der Praxis immer häufiger zum Einsatz komme.

Mit Blick auf die wichtige Frage, ob überhaupt personenbezogene Daten verarbeitet werden und dann die Regelungen des Datenschutzrechts eingreifen, geht der EDÖB davon aus, dass einige Systeme direkt personenbezogene Merkmale wie biometrische Gesichtsdaten oder Autokennzeichen erfassen, um Personen und Fahrzeuge beim Passieren der Kontrollpunkte wiederzuerkennen. Andere Systeme erfassen Daten der von den passierenden Personen getragenen Mobilfunkgeräte (IMSI- und TMSI-Nummern oder Mac-Adresse) und zeichnen so den Weg des Trägers auf. Hier ist der EDÖB der Auffassung, dass diese Daten zwar für sich nicht unbedingt einen Personenbezug aufweisen.

Jedoch kann sich der Personenbezug gerade aus den erstellten Bewegungsprofilen ergeben. Ein Beispiel: So unterscheiden sich beispielsweise die Bewegungsprofile des Verkaufspersonals in einem Ladengeschäft von denjenigen der Kunden. Bei kleineren Läden lässt sich so rasch ein Bewegungsprofil einem bestimmten Mitarbeiter zuordnen. Der EDÖB ist daher der Ansicht, dass auch bei diesen Systemen von der Verarbeitung personenbezogener Daten auszugehen ist.

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Nach Ansicht des EDÖB kommen vorliegend ein überwiegendes privates oder öffentliches Interesse der datenverarbeitenden Stelle oder die Einwilligung der Betroffenen in Betracht. Auch im europäischen und deutschen Datenschutzrecht kennen wir diese Erlaubnistatbestände.

Mit Blick auf die Einwilligung der Betroffenen verweist der EDÖB richtigerweise auf praktische Schwierigkeiten, um die Voraussetzungen einer wirksamen Einwilligung zu erfüllen. So müssen die betroffenen Personen, bevor sie einwilligen, angemessen über die fragliche Datenerhebung und -bearbeitung informiert werden. An Orten mit großem Publikumsverkehr, wo Menschen ständig in Bewegung sind, kann dies schwierig sein.

Als Erlaubnistatbestand kommt dann die Interessenabwägung in Frage, bei der die berechtigten Interessen der datenverarbeitenden Stelle oder Dritter mit jenen der Betroffenen abgewogen werden müssen. Nach Auffassung des EDÖB kann in den Fällen, in denen ein Personentrackingsystem z.B. zur Analyse von Personenströmen zur Verbesserung der Sicherheit in Flughäfen oder Bahnhöfen eingesetzt wird, von einem überwiegenden öffentlichen Interessen ausgegangen werden, sofern dabei nicht das Verhalten bestimmter Personen analysiert wird. Dasselbe gilt für die Analyse von Verkehrsströmen auf Autobahnen zur Vermeidung von Staus.

Komplizierter wird es jedoch, wenn das Tracking personenbezogen zum Zwecke der Werbung erfolgen soll. Zwar sieht es der EDÖB auch noch als zulässig an, wenn mit dem System Kundenfrequenzen gemessen oder das durchschnittliche Verhalten von Kundenkategorien analysiert werden soll. Kein Rechtfertigungsgrund bestehe jedoch in der Regel für Auswertungen des persönlichen Verhaltens bestimmter Personen, um diesen z.B. massgeschneiderte Werbung zuzustellen.

Daneben sind weitere Vorgaben des Datenschutzrechts, wie die Pflicht, personenbezogene Daten zu löschen, wenn deren Verarbeitung für den festgelegten Zweck nicht mehr erforderlich ist, oder auch die generelle Informationspflicht zu beachten.

Regelungen für Roboter-Entwicklung: EU-Parlament legt Wert auf Datenschutz und IT-Sicherheit

Am 16. Februar hat das EU-Parlament eine Entschließung (pdf) mit dem Titel „Zivilrechtliche Regelungen im Bereich Robotik“ mit Empfehlungen an die Europäische Kommission angenommen.

In der Entschließung geht es um ganz verschiedene rechtliche aber auch soziale Themen rund um die zunehmende Automatisierung und den Einsatz von (immer intelligenter werdenden) Robotern.

Natürlich wird in der Entschließung (wenn auch nur knapp) auf den Datenschutz eingegangen (ab Rz. 18). Wenig überraschend fordert das Parlament, dass zukünftige zivilrechtliche Regelungen im Bereich der Robotik im Einklang mit den gesetzlichen Vorgaben zum Datenschutz, insbesondere der Datenschutz-Grundverordnung (DSGVO), stehen müssen. Das Datenschutzrecht ist also bei der Entwicklung und dem Betrieb von Robotern vollumfänglich zu beachten.

Interessant ist die Forderung des Parlaments, dass die datenschutzrechtlichen Vorgaben zum Einsatz von Kameras und Sensoren in Robotersystemen präzisiert werden müssen. Man könnte hier auch von „geschaffen werden müssen“ sprechen, denn die DSGVO enthält zum Beispiel gar keine ausdrücklichen Vorgaben zur Datenverarbeitung durch Videokameras oder Sensoren. Zudem ist mit Blick auf die Sensoren daran zu erinnern, dass die EU Kommission in ihrem Vorschlag für die ePrivacy-Verordnung ausdrücklich die Maschine-zu-Maschine-Kommunikation regeln möchte (vgl. Erwägungsgrund 12 und Art. 8 Abs. 2, pdf), die wiederum den Regelungen der DSGVO vorgehen würde. Der Datenaustausch zwischen Robotern würde also etwa in den Anwendungsbereich der ePrivacy-Verordnung fallen.

Zudem widmet sich das Parlament auch dem Thema der Daten-/IT-Sicherheit. Laut der Entschließung ist ein hohes Maß an Sicherheit von Robotersystemen, auch was ihre internen Datensysteme und Datenflüsse betrifft, für eine angemessene Nutzung der Robotik und Künstlicher Intelligenz von entscheidender Bedeutung.

Nach Ansicht der Parlamentarier sind es dann auch die Entwickler von Robotik und künstlicher Intelligenz, die dafür verantwortlich sind, die Produkte so zu gestalten , dass sie sicher sind und ihren Zweck erfüllen. Insbesondere das Thema der (Cyber)Sicherheit von vernetzten Gegenständen, wie etwa Robotern, und die Frage der Haftung für Schäden, die durch das Ausnutzen von Sicherheitslücken oder unentdeckten Schwachstellen entstehen, dürfte sich in Zukunft gerade auch im Bereich der Robotik stellen (man denke etwa an einen von Hackern gekaperten Industrieroboter in der Automobilfertigung, der sowohl Material als auch Menschen in seinem Umfeld beschädigt und verletzt).

An die Entschließung angefügt findet sich zudem eine „Charta über Robotik“, die einen ethischen Verhaltenskodex für Robotikingenieure beinhaltet.

Auch in diesem Verhaltenskodex hat das EU-Parlament Vorgaben zum Schutz der Privatsphäre im Bereich der Robotik integriert. Danach soll ein Robotikingenieur garantieren(!), dass Personen nicht persönlich identifizierbar sind, abgesehen von außergewöhnlichen Umständen. In diesem Fall müsse dann aber eine klare, eindeutige Zustimmung der betroffenen Personen eingeholt werden. Leider wird nicht deutlich, für was konkret die Einwilligung eingeholt werden soll: die Identifizierung und/oder die Verarbeitung personenbezogener Daten?

Es erscheint durchaus diskutabel, warum Ingenieure garantieren sollten, dass Personen, die etwa in das Blickfeld eines Roboters geraten oder auch mit dem Roboter interagieren müssen, nicht durch diesen identifiziert werden sollen. Der Verhaltenskodex spricht ja davon, dass dies nur unter „außergewöhnlichen Umständen“ möglich sein soll, also gerade nicht dann, wenn der Roboter seiner gewöhnlichen Bestimmung nachgeht. Soll also die Entwicklung von Robotern, deren Tätigkeit gerade auf die Identifizierung von Personen angelegt ist, in Zukunft verboten sein? Zudem stellt sich die Frage, wie man in einem Verhaltenskodex als Erlaubnistatbestand für eine Identifizierung (bzw. einen Umgang mit personenbezogenen Daten) allein die Zustimmung von Betroffenen gelten lassen kann? Derzeit und auch in Zukunft wird die Einwilligung gerade nicht die einzige oder gesetzlich priorisierte Möglichkeit darstellen, um mit personenbezogenen Daten umzugehen. Warum dies im Bereich Robotik (wenn auch „nur“ in einem freiwilligen Verhaltenskodex) anders sein soll, leuchtet nicht recht ein. Zumal sich zusätzliche Probleme bei der Einholung einer ausdrücklichen Zustimmung in der Praxis stellen (was ist etwa mit Personen, die durch das Sichtfeld eines Roboters gehen, die jedoch bereits in diesem Moment identifiziert werden können?).

Man darf gespannt sein, welche regulatorischen Schritte die EU-Kommission in dem immer stärker wachsenden Bereich der Robotik vorschlagen wird und welche Forderungen des EU-Parlaments einen möglichen legislativen Prozess prägen und überdauern werden.

German Government adopts draft law for automated driving

On 25 January 2017, the Federal Cabinet adopted a draft law amending the Federal Road Transport Law (StVG) to create regulations for highly or fully automated driving systems in motor vehicles. The draft law can be found here (German, PDF).

The purpose of the draft law is, inter alia, to enable vehicles with advanced automated systems to be used on public roads.

The law defines the concept of a motor vehicle with a highly or fully automated driving function and, among other things, defines the duties of the driver when using such systems.

According to the draft law, highly or fully automated driving functions are to be characterized by the fact that they are designed to cope with the driving task (including longitudinal and lateral guidance), after activation by the vehicle driver, and can take over the driving task. But the system can be oversteered or deactivated at any time by the vehicle driver. In contrast to the autonomous / driverless driving, one cannot do without a vehicle driver.

At the same time, the maximum liability limit of the vehicle owner shall also be increased in the case of accidents caused by such vehicles due to a system failure. The existing maximum amounts are to be increased by 100 per cent.

A section VIa „Data processing in the vehicle“ is to be inserted into the StVG. It is a legal duty to install a „blackbox“ into vehicles already at the manufacturer’s side, which must record certain data for the use of highly automated or fully automated driving functions. The reason for this blackbox is to be able to be show, whether the driver or the system were in charge of the driving task. In the event of a claim, these data must be forwarded to third parties (e.g. other persons involved in the accident) if certain conditions are met.

The data to be recorded by the integrated memory must be recorded separately from other data. Detailed regulations on the data storage, including the technical form, are to be made in legal regulations in the future. The necessary configuration of the storage function shall be regulated in corresponding (international) technical provisions. An amendment to UN/ECE Regulation No. 79 (Regulation No 79 of the Economic Commission for Europe of the United Nations (UN/ECE) – Uniform provisions concerning the approval of vehicles with regard to steering equipment) is currently under way.

In its draft law, the Federal Government is assuming that the required blackbox in vehicles with automated systems will entail higher production costs.

The draft law is characterized as particularly urgent by the Federal Government. The intention is certainly to pass the final law in the coming months, before the federal elections in Germany in September 2017.

Bundesrat: Datenschutz als Eignungskriterium für Carsharinganbieter

Heute hat sich der Bundesrat mit dem Gesetzentwurf der Bundesregierung für ein Gesetz zur Bevorrechtigung des Carsharing (Carsharinggesetz – CsgG, PDF) befasst und über die Empfehlungen der beteiligten Bundesratsausschüsse abgestimmt. Die Empfehlung zum dem Gesetzentwurf findet sich hier (PDF).

Mehrheitlich angenommen wurde im Bundesrat unter anderem der Vorschlag des Ausschusses für Umwelt, Naturschutz und Reaktorsicherheit, nach dem die Bundesregierung prüfen soll, ob der von Anbietern von Carsharingdiensten zu erfüllenden Anforderungskatalog um Kriterium ergänzt werden sollte,

 wonach Carsharinganbieter die Nutzung ihrer Dienstleistungen und Fahrzeuge nicht davon abhängig machen dürfen, dass die Kunden in die Erhebung, Verarbeitung, Verwertung oder Übermittlung von personenbezogenen Daten einwilligen, die für die Durchführung des jeweiligen Mietvertrags bzw. der Rahmenvereinbarung nicht zwingend erforderlich sind (Koppelungsverbot).

Zur Begründung wird ausgeführt, dass das Auswahlverfahren auch dazu genutzt werden sollte, im Rahmen des Mindestleistungsumfangs ein hohes Datenschutzniveau für die Kunden zu gewährleisten und nur solche Anbieter zu begünstigen, die den Kunden die freie Wahl lassen, ob ihre Daten über das für die Vertragsdurchführung Erforderliche hinaus genutzt werden.

Verwiesen wird in diesem Zusammenhang auf das in der Datenschutz-Grundverordnung (DSGVO) angelegte sog. Kopplungsverbot in Art. 7 Abs. 4. Wenn Carsharinganbieter personenbezogene Daten verarbeiten, sind sie ab dem 25. Mai 2018 (ab dann ist die DSGVO anwendbar) zwar ohnehin an die DSGVO gebunden. Würde eine datenschutzrechtliche Einwilligung entgegen den Vorgaben des Art. 7 Abs. 4 DSGVO an die Erfüllung eines Vertrags gekoppelt, wäre die Einwilligung daher nicht freiwillig erteilt, unwirksam und eventuell auch die entsprechende Datenverarbeitung unzulässig. Der Bundesrat möchte jedoch zusätzlich, als Auswahlkriterium für Carsharinganbieter, das Erfordernis aufstellen, dass personenbezogene Daten, die nicht für die Erbringung des Dienstes erforderlich sind, nur dann von dem Anbieter genutzt werden dürfen, wenn die Kunden die freie Wahl haben, ob sie dieser Nutzung von Daten zustimmen. Eine Kopplung der Einwilligung in die Datenverarbeitung mit dem Nutzungsvertrag soll dadurch unterbunden werden.

In der Praxis soll die Prüfung der Erfüllung dieser Voraussetzung durch die „zuständige Behörde“ erfolgen, so die Ausschussempfehlung. Es ist jedoch nicht klar, welche Behörde hier gemeint ist bzw. spricht viel dafür, dass dies nicht die zuständige Datenschutzbehörde, sondern die für die Erteilung der Sondernutzungserlaubnis zuständige Landesbehörde ist, die dann, so die Empfehlung, die dann die entsprechenden Allgemeinen Geschäftsbedingungen bzw. Datenschutzbestimmungen prüfen soll. Ob diese Regelung der Prüfung wirklich glück ist, erscheint zumindest fraglich. Denn bereits unter Datenschutzrechtlern (Berater oder auch Behörden) ist die Auslegung und Interpretation der Vorgaben der DSGVO und auch von Art. 7 Abs. 4 teilweise stark umstritten und die Feststellung einer unzulässigen Kopplung dürfte einer anderen, sachfremden Behörde nicht unbedingt leicht fallen. Zudem stellt sich etwa die Folgefrage, was geschieht, wenn die für die Erteilung der Sondernutzungserlaubnis zuständige Behörde eine Kopplung verneint, im Rahmen einer späteren Prüfung aber z.B. eine Landesdatenschutzbehörde eine Kopplung bejaht.

UN-Wirtschaftskommission für Europa: Datenschutz- und IT-Sicherheitsstandards für vernetzte Fahrzeuge

Eine informelle Arbeitsgruppe der Wirtschaftskommission für Europa der Vereinten Nationen (kurz UNECE), die u.a. Vorschläge und Vorlagen für ECE-Regelungen für Kraftfahrzeuge entwickelt, hat einen Vorschlag für Leitlinien zur IT-/Netz-Sicherheit und zum Datenschutz bei vernetzten Fahrzeugen und Kraftfahrzeugen mit automatisierten Fahrfunktionen veröffentlicht („Proposal for draft guidelines on cyber security and data protection“, PDF).

Die Vorschläge, die im März 2017 bei der Sitzung des UN/ECE-Weltforums für die Harmonisierung der Regelungen für Kraftfahrzeuge angenommen werden sollen, sind von besonderer Relevanz, da hierdurch einheitliche internationale Vorgaben zur IT-Sicherheit und zum Datenschutz bei intelligenten Fahrzeugen eingeführt werden könnten.

In dem Entwurf wird einleitend auf die Notwendigkeit klarer Vorgaben zur IT-Sicherheit und zum Datenschutz in vernetzten Fahrzeugen und solchen mit automatisierten Fahrfunktionen hingewiesen. Es müsse sichergestellt werden, dass Fahrzeuge vor äußeren Störungen und Manipulationen geschützt sind.

Die Leitlinien sollen für Fahrzeughersteller, System- und Teilezulieferer und Anbieter von Diensten, die auf den Fahrzeugsystemen installiert werden, gelten und diesen Vorgaben machen, um ein hohes IT-Sicherheitsniveau zu erreichen. Zudem sollen diese Leitlinien als Grundlage für die Entwicklung von Vorgaben in UN-Richtlinien dienen.

Wichtig ist zudem der Hinweis, dass die Leitlinien keinen Einfluss auf geltendes Datenschutzrecht haben. Die Vorgaben gliedern sich in vier Themenkomplexe, die ein vernetztes Fahrzeug bzw. ein solches mit automatisierten Fahrfunktionen jeweils erfüllen muss:

–          Allgemeine Vorgaben.

–          Datenschutz.

–          Safety (iSv „Betriebssicherheit“).

–          Security (iSv „Angriffssicherheit“).

Generell dürfen personenbezogene Daten in Fahrzeugen nur auf rechtlich zulässige und insbesondere transparente Weise verarbeitet werden. Das Datenschutzrecht ist also zu beachten. Fahrzeughersteller, System- und Teilezulieferer sowie Diensteanbeiter sollen die Prinzipien „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Privacy by Default) beachten. Bereits auf der Ebene der Fertigung von Komponenten für vernetzte Fahrzeuge soll also der Datenschutz Beachtung finden. Diese Prinzipien finden sich etwa auch in der ab Mai 2018 unmittelbar anwendbaren EU Datenschutz-Grundverordnung. Zudem sollen die benannten Akteure sicherstellen, dass Datenverbindungen und –kommunikation nur verschlüsselt erfolgen.

Betroffene Personen sollen umfassend und klar darüber informiert werden, welche Daten von ihnen verarbeitet werden und für welche Zwecke dies geschieht. Dem Grundsatz der Datensparsamkeit folgend, sollen nur soviele Daten erhoben werden, wie für den konkreten Zweck erforderlich sind.

Auf Betriebssicherheitsebene sollen Standards, wie etwa ISO 26262, angewendet werden. Zudem werden gewisse Vorgaben an die Datenverbindung und –kommunikation selbst gemacht. Diese dürfen nicht andere Systeme beeinflussen, die Informationen erzeigen, die für die Kontrolle eines Fahrzeugs erforderlich sind. Zudem sollen die Verbindungen derart beschaffen sein, dass falsche Zugriffe oder auch Manipulationen am System über diese Verbindungen nicht möglich sind.

Zur erforderlichen Angriffssicherheit der Fahrzeuge und Systeme wird die Anforderung aufgestellt, dass Sicherheitsstandards, wie etwa nach ISO 27000 und ISO/IEC 15408, umgesetzt werden sollen. Zudem sollen vernetzte Fahrzeuge etwa mit der Fähigkeit ausgestattet sein, kryptographische Schlüssel verwalten zu können.

Man darf gespannt sein, in welcher Form diese Leitlinien am Ende durch das UN/ECE-Weltforum für die Harmonisierung der Regelungen für Kraftfahrzeuge beschlossen werden und in Zukunft die Mindeststandards für intelligente Fahrzeuge darstellen könnten. Auffällig ist, dass die vorgeschlagenen Maßnahmen oder Prinzipien inhaltlich nicht neu sind und mit Blick auf EU-Gesetze wie die Datenschutz-Grundverordnung oder den Vorschlag für die ePrivacy-Verordnung, viele gesetzliche Vorgaben aufnehmen. Klar ist jedoch: ohne Maßnahmen zur IT-Sicherheit und zum Datenschutz geht es nicht mehr.

Datenschutz nach dem Brexit: Vereinigtes Königreich strebt Angemessenheitsbeschluss der EU-Kommission an

Die britische Regierung hat ein Weißbuch für den Plan zum Austritt aus der Europäischen Union veröffentlicht (pdf, Stand: Februar 2017). In dem Weißbuch wird auch knapp das Thema „Datenschutz“ gestreift (S. 45).

In dem Weißbuch erkennt die britische Regierung den besonderen Stellenwert eines Datentransfers für viele Wirtschaftssektoren an. Solange das Vereinigte Königreich noch Teil der Europäischen Union ist, existieren auch keine anderen datenschutzrechtlichen Anforderungen für Unternehmen, wenn diese etwa personenbezogene Daten mit einem Dienstleister in England austauschen möchten, als wenn sie einen Dienstleister im eigenen EU-Mitgliedstaat wählen würden.

Jedoch wird sich datenschutzrechtlich der Status des Vereinigten Königreichs nach dem Brexit ändern: in ein sog. Drittland. An Datentransfers in diese Länder bestehen bekanntlich höhere datenschutzrechtliche Anforderungen. Grundsätzlich dürfen derzeit und auch unter der Datenschutz-Grundverordnung, keine personenbezogene Daten aus der EU in Drittländer übermittelt werden, die nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen oder ein anderes besonderes Instrument, wie etwa die EU-Standardvertragsklauseln oder gesetzliche Ausnahmen, nutzen.

Die Angemessenheit des Datenschutzniveaus in einem Drittland wird durch die Europäische Kommission geprüft und bestätigt. Ein Beispiel hierfür ist etwa der Beschluss zum EU-US Datenschutzschild.

Laut dem Weißbuch möchte auch die britische Regierung in Zukunft wohl in den Genuss eines Angemessenheitsbeschlusses der Kommission kommen. Zumindest wird darauf hingewiesen, dass der Kommission diese Befugnis zusteht und die britische Regierung alles dafür tun werde, um die Beständigkeit von Datentransfers zwischen EU-Mitgliedstaaten und dem Vereinigten Königreich zu sichern.

Ob jedoch ein solcher Angemessenheitsbeschluss der Kommission so einfach erlassen wird, darüber kann man zumindest diskutieren. Dies mag verwundern, da das Vereinigte Königreich ja derzeit als Mitgliedstaat der EU qua Gesetz (der Richtlinie 95/46/EG) ein angemessenes Niveau bietet und man hinterfragen könnte, was sich denn groß ändert, wenn doch das nationale Datenschutzrecht wie bisher auch nach dem Brexit erhalten bleibt. Der Grund für eine kritische Diskussion über den Erfolg eines Angemessenheitsbeschlusses findet man jedoch in dem Konstrukt der Kompetenzen der EU. Das europäische Datenschutzrecht und allgemein die EU hat keine Wirkung bzw. keine Befugnis auf dem Gebiet der nationalen Sicherheit, insbesondere der Tätigkeit der Geheimdienste. Selbst wenn man also derzeit die Tätigkeit des britischen GCHQ kritisiert, ändert dies nichts daran, dass im Vereinigten Königreich per se ein angemessenes Datenschutzniveau existiert. Soll die Kommission jedoch das Schutzniveau im Vereinigten Königreich nach dem Brexit prüfen, so sind von dieser Prüfung auch die Tätigkeiten der Sicherheitsbehörden, deren Datenverarbeitungsmaßnahmen und entsprechende Schutzmaßnahmen für EU-Bürger umfasst (vgl. etwa das Urteil des EuGH zu Safe Harbor, C?362/14, Rz. 88). Das Vereinigte Königreich ist in diesem Moment ein Drittland und die Kommission darf (und muss) dann im Rahmen ihrer Kompetenz das Schutzniveau für personenbezogene Daten in Gänze prüfen.

Man darf also auf die Prüfung durch die Kommission gespannt sein.

Like-Button vor dem EuGH: OLG Düsseldorf möchte wissen, wer verantwortlich ist

Im Verfahren zwischen der Verbrauchzentrale Nordrhein-Westfalen (VZNRW) und der Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) zur datenschutzrechtlichen Zulässigkeit der Einbindung des Facebook Like-Buttons auf einer Webseite, hat das OLD Düsseldorf das Verfahren ausgesetzt und dem EuGH mehrere interessante Datenschutzfragen vorgelegt (Beschluss vom 19.01.2017 – I-20 U 40/16; derzeit leider noch nicht frei zugänglich). Die Vorinstanz, das LG Düsseldorf, hatte Fashion ID u.a. dazu verurteilt, die Einwilligung von Webseitenbesuchern einzuholen, bevor über das Plugin die IP-Adresse der Besucher an Facebook übermittelt wird (Urt. v.  09.03.2016 – 12 O 151/15; hier mein Blogbeitrag zu dem Urteil).

Facebook ist dem dem Rechtsstreit auf Seiten der Beklagten beigetreten. Das OLG Düsseldorf legt dem EuGH mehrere interessante Fragen zur Auslegung der geltenden EU-Datenschutzrichtlinie (RL 95/46/EG) vor.

Zunächst möchte das Gericht aber einmal wissen, ob denn die VZNRW überhaupt klagebfugt ist. Das LG Düsseldorf hatte dies noch, auf der Grundlage von § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvorschriften. Fashion ID argumentiert, dass dieses Verständnis nicht in Einklang mit der RL 95/46/EG stehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle insoweit eine abschließende Regelung dar. Interessant ist diese Vorlagefrage vor allem mit Blick auf das (nicht mehr ganz) neue Verbandsklagerecht in Deutschland. Das OLG Düsseldorf lässt in seinem Beschluss  erkennen, dass es davon ausgeht, dass eine solche Verbandsklagebefugnis der RL 95/46/EG nicht entgegensteht.

Natürlich möchte das OLG dann wissen, ob der Webseitenbetreiber, der das Plugin (also Code) einbindet, datenschutzrechtlich die „verantwortliche Stelle“ ist. Hier tendiert das OLG in seiner Begründung dazu, diese Verantwortlichkeit abzulehnen und verweist dazu auch auf den Vorlagebeschluss des BVerwG zu dem ebenfalls beim EuGH anhängigen Verfahren zu Facebook Fanpages.

Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Das OLG Düsseldorf führt dazu richtigerweise aus, dass die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“ praktisch datenschutzrechtlich eine derartige Einbindung unmöglich mache. Denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Interessant ist dann die Anschlussfrage des OLG, wenn keine datenschutzrechtliche Verantwortlichkeit angenommen wird. Man könnte dann nämlich über eine (m.E. abzulehnende Anwendung der Figur des „Störers“) nachdenken. Insofern stellt sich dann die Frage, ob Art. 2 Buchst. d) RL 95/46/EG insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.

Wie auch das Vorlageverfahren des BVerwG (C-210/16), so ist auch dieses Verfahren von praktischer Relevanz. Im hiesigen Verfahren am OLG insofern eventuell in einer noch gesteigerten Form, da in der Praxis sowohl auf Webseiten und in Apps massenweise tagtäglich Plugins eingebunden werden. Eine datenschutzrechtliche Klärung ist daher zu begrüßen. Eventuell muss man sich aber mit dem Gedanken anfreunden, dass ein Urteil des EuGH erst nach dem 25. Mai 2018 und damit erst dann gefällt wird, wenn die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und die RL 95/46/EG nicht mehr existiert. Nichtsdestotrotz ist die Frage nach der datenschutzrechtlichen Verantwortlichkeit und auch ein möglicher Rückgriff auf die Figur der Störerhaftung auch unter der DSGVO relevant.

Privacy Shield: Europäische Datenschützer veröffentlichen Leitfaden für Unternehmen

Die Art. 29 Datenschutzgruppe, die Versammlung der nationalen Datenschutzbehörden, hat am 13. Dezember 2016 ein Papier mit Fragen und Antworten (FAQ) zur praktischen Handhabe des EU-US Datenschutzschildes (Privacy Shield) für europäische Unternehmen veröffentlicht (pdf).

Unter anderem geben die europäischen Datenschützer darüber Auskunft, was ein europäisches Unternehmen zu beachten hat, bevor es personenbezogenen Daten an ein US-Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist.

Prüfung der Zertifizierung und umfasster Datenkategorien

Zum einen müssen sich europäische Unternehmen vergewissern, dass das US-Unternehmen eine aktive Zertifizierung besitzt und zum anderen, dass diese Zertifizierung auch die der geplanten Übermittlung zu Grunde liegenden Daten (eine wichtige Unterscheidung besteht hier zwischen Daten von Mitarbeitern und anderen personenbezogenen Daten) umfasst. Um diese Prüfung vorzunehmen, müssen europäische Unternehmen die Zertifizierung des jeweiligen amerikanischen Unternehmens auf der Webseite des US-Handelsministeriums verifizieren: https://www.privacyshield.gov/welcome

Sollte ein amerikanisches Unternehmen nicht in dieser Liste verzeichnet sein, bestehen dennoch Möglichkeiten, personenbezogene Daten an dieses Unternehmen zu übertragen. Hierauf weisen die europäischen Datenschützer auch ausdrücklich in ihrer Leitlinie hin. Insbesondere können die EU-Standardvertragsklauseln zum Einsatz kommen.

Amerikanisches Unternehmen als Verantwortlicher

Werden personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches in der Rolle eines datenschutzrechtlich Verantwortlichen („controller“) agiert, muss das europäische Unternehmen dafür Sorge tragen, dass für den Verarbeitungsvorgang der Übermittlung europäisches Datenschutzrecht eingehalten wird. Insbesondere bedeutet dies, dass für die Übermittlung ein Erlaubnistatbestand (etwa eine Einwilligung oder ein Vertrag) vorhanden sein muss. Zudem weisen die europäischen Datenschützer darauf hin, dass auch alle übrigen Voraussetzungen für eine zulässige Datenverarbeitung erfüllt sein müssen, wie etwa die Erfüllung von Informationspflichten und das Prinzip der Zweckbindung.

Nach Auffassung der europäischen Datenschützer muss ein europäisches Unternehmen, wenn es personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist, betroffene Personen über die Identität der jeweiligen Datenempfänger und über die Tatsache, dass die übermittelten personenbezogenen Daten unter dem Schutz des Privacy Shield übermittelt werden, informieren. Ob ein europäisches Unternehmen jedoch tatsächlich über die konkrete Identität eines amerikanischen Unternehmens als Empfänger von Daten informieren muss, lässt sich meines Erachtens hinterfragen. So erfordert Art. 10 EU-Datenschutzrichtlinie, dass über die Empfänger oder Kategorien der Empfänger der Daten zu informieren ist. Auch die Information über Kategorien ist also ausreichend. Eine andere Frage ist freilich, ob das amerikanische Unternehmen selbst dazu verpflichtet ist, die betroffenen Personen zu informieren. Eine solche Pflicht besteht nach den Datenschutzgrundsätzen des Privacy Shield (Anhang II, II. Grundsätze, Ziffer 1.).

Amerikanisches Unternehmen als Auftragsverarbeiter

Von besonderem Interesse für europäische Unternehmen dürften zudem die Leitlinien der europäischen Datenschützer für Situationen sein, in denen das amerikanische Unternehmen als Auftragsverarbeiter („processor“) agiert. In einem solchen Fall sind beide Unternehmen dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen. Dieser Hinweis, der sich auf Art. 17 EU-Datenschutzrichtlinie stützt, ist wichtig. Denn dies bedeutet, dass etwa ein deutsches Unternehmen nicht einfach personenbezogene Daten an ein amerikanisches Unternehmen, welches unter dem Privacy Shield zertifiziert ist, übermitteln darf, wenn dieses Unternehmen als Auftragsverarbeiter agiert. Zusätzlich ist vielmehr der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich. Diese Voraussetzung gilt im Übrigen auch unabhängig davon, ob das empfangende Unternehmen unter dem Privacy Shield zertifiziert ist.

Die europäischen Datenschützer weisen in ihren Leitlinien zudem darauf hin, dass jeweiliges nationales Datenschutzrecht noch zusätzliche Anforderungen an diesen Vertrag aufstellen kann. Grundsätzlich empfehlen die europäischen Datenschützer zudem, dass ein europäisches Unternehmen in einem solchen Vertrag festlegt, ob es mit einer Einschaltung von Unterauftragsverarbeitern durch das amerikanische Unternehmen einverstanden ist oder nicht.