Markenrecht: Schützt das Bankgeheimnis vor Ansprüchen des Rechteinhabers?

In Deutschland existiert kein (zumindest kein unmittelbar) gesetzlich festgeschriebenes Bankgeheimnis. Nach § 383 Abs. 1 Nr. 6 ZPO sind jedoch Bankinstitute unter Umständen berechtigt, in Zivilprozesse die Auskunft über bestimmt Informationen zu verweigern (den Bankinstituten steht ein Zeugnisverweigerungsrecht zu). Daher spricht man zumindest von einem „mittelbar“ existierenden Bankgeheimnis.
Doch wie verhält sich das Bankgeheimnis zu Rechtsansprüchen von Dritten, die diese gegenüber Kunden der Bank besitzen und durchsetzen möchten, dazu jedoch Gewissheit erlangen müssen, wer der Inhaber eines Bankkontos ist?

Einen solchen Fall hat der Bundesgerichtshof (BGH) im Jahre 2013 dem Europäischen Gerichtshof (EuGH) zur Beantwortung vorgelegt (Rechtssache C-580/13). Hierüber hatte der Kollege Thomas Stadler in seinem Blog berichtet.

Worum geht es: Der exklusive Lizenzinhaber einer Marke (an dem Parfum „Davidoff Hot Water“) kaufte auf einer Internetauktionsplattform einen gefälschten Parfumflakon. Den Preis hierfür zahlte der Lizenzinhaber auf ein Bankkonto bei einer Sparkasse ein. Nachdem der Inhaber des Verkäuferkontos angab, nicht den in Rede stehenden Verkauf getätigt zu haben, wandte sich der Lizenzinhaber an die Sparkasse, um zu erfahren, wer denn hinter dem Bankkonto steckt. Damit machte der Lizenzinhaber einen gesetzlich in § 19 Abs. 2 MarkenG festgeschriebenen Auskunftsanspruch geltend, der wiederum auf Art. 8 der europäischen Richtlinie 2004/48 (PDF) beruht. Die Sparkasse weigerte sich, mit Verweis auf § 383 Abs. 1 Nr. 6 ZPO, die Auskunft zu erteilen.

Das Urteil des EuGH steht noch aus, jedoch hat nun der zuständige Generalanwalt am EuGH seine Stellungnahme abgegeben und seine Entscheidungsempfehlung ausgesprochen. Kurz gesagt: die vorbehaltlose Verweigerung der Auskunftserteilung mit Verweis auf das Bankgeheimnis ist ohne eine gerichtliche Prüfung nicht mit EU-Recht vereinbar.

Art. 8 RL 2004/48 sieht vor, dass die Mitgliedstaaten sicherstellen müssen, „dass die zuständigen Gerichte im Zusammenhang mit einem Verfahren wegen Verletzung eines Rechts des geistigen Eigentums auf einen begründeten und die Verhältnismäßigkeit wahrenden Antrag des Klägers hin anordnen können, dass Auskünfte über den Ursprung und die Vertriebswege von Waren oder Dienstleistungen, die ein Recht des geistigen Eigentums verletzen, von dem Verletzer und/oder jeder anderen Person erteilt werden“. Diese Auskunft erstreckt sich auch auf Namen und Adresse der Vertreiber und Verkaufsstellen.

Nach Ansicht des Generalanwalts hat die Weigerung der Auskunftserteilung durch die Sparkasse die Einschränkung von zwei europäischen Grundrechten zur Folge: das Recht auf geistiges Eigentum (Art. 17 Abs. 2 der Charta der Grundrechte der Europäischen Union) und das Recht auf einen wirksamen Rechtsbehelf nach Art. 47 der Charta, welches gerade ein notwendiges Instrument zum Schutz des ersteren Grundrechts darstellt. Auf Seiten des Bankinstituts stehe hingegen das Recht der Bankkunden auf Schutz personenbezogener Daten (Art. 8 der Charta), welches die Bank durch das Bankgeheimnis zumindest mittelbar zu schätzen versuche.

Art. 52 Abs. 1 der Charta enthält die Voraussetzungen, unter denen die Einschränkung eines Grundrechts rechtmäßig erfolgen kann. Die Grundrechtseinschränkung muss gesetzlich vorgesehen sein, den Wesensgehalt der betroffenen Rechte und Freiheiten achten und schließlich geeignet und erforderlich sein, um die verfolgte Zielsetzung zu erreichen, sowie dem Grundsatz der Verhältnismäßigkeit entsprechen.

Art. 52 Abs. 1 der Charta bestimmt außerdem, dass die Grundrechtseinschränkung den „Wesensgehalt“ des oder der betroffenen Grundrechte achten muss. Hier bestehen für den Generalanwalt „die größten Zweifel“ vor allem hinsichtlich des Rechts des Lizenznehmers auf einen wirksamen Rechtsbehelf.

Die Wirksamkeit des Rechtsschutzes, den die Lizenznehmerin der verletzten Marke verlangt, scheint in Deutschland unter Umständen wie im vorliegenden Fall ausschließlich davon abzuhängen, dass das Bankinstitut, von dem die Auskunft begehrt wird und das vertraglich gegenüber seinen Kunden zur Verschwiegenheit verpflichtet ist, aus welchem Grund auch immer darauf verzichtet, vom Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO Gebrauch zu machen.

Des Weiteren prüft der Generalanwalt, ob es unter den Umständen des vorliegenden Falles geeignet, erforderlich und verhältnismäßig ist, den Lizenznehmer unter Hinweis auf das Bankgeheimnis die Ausübung seines Rechts auf einen wirksamen Rechtsbehelf zu versagen.

Von besonderer Bedeutung ist für den Generalanwalt die Frage, ob die Einschränkung der Grundrechte erforderlich ist. Die Einschränkung der Grundrechte sei hier nur dann erforderlich, wenn der verfolgte Zweck (Schutz der Kundendaten durch die Bank) nicht auch durch eine Maßnahme erreicht werden kann, die diese Rechte in geringerem Maß einschränkt. Insoweit müsse nach dem Generalanwalt geprüft werden, ob die Daten, die von der Sparkasse verlangt werden, möglicherweise auf einem anderen Weg oder aus einer anderen Quelle als über das Bankinstitut erlangt werden können. In jedem Fall müsse das nationale Gericht im Rahmen dieser Verhältnismäßigkeitsprüfung alle betroffenen Grundrechte berücksichtigen und in der Folge eine Abwägung kollidierender Grundrechte vornehmen.

Data Retention Law: German Minister presents guidelines for future regulation

Today the German Minister for Justice and Consumer Protection, Heiko Maas, presented the “Guidelines for the Introduction of a data retention obligation and maximum retention periods for traffic data” ((GERMAN) PDF).

After the European Court of Justice in April 2014 (C-293/12) found that the European Directive on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks was is invalid and after the German Federal Constitutional Court already in 2010 found that certain provisions on data retention of the Telecommunications Act were unconstitutional in their present form (Press Release), the interested public in Germany was expecting a new proposal for a national data retention law. The guidelines published today only roughly outline the possible substance of a new data retention law in Germany. According to the Ministry, this proposal for a new bill (amending the Telecommunications Act) shall be tabled until this summer.

Very briefly, the guidelines provide the following requirements for a future data retention law:

  • The data affected by the retention obligation: telephone number; point of time and duration of the call; if mobile communication is affected, also the location data; IP-address; point of time and the duration of the allocation of the IP-address
  • Data not affected: content of the communication; websites visited; data of e-mail providers
  • The respective data must be stored in “the interior” (it is not entirely clear whether that means Germany or the European Union)
  • Retention periods: 4 weeks for location data, 10 weeks for the rest
  • Access to data is in general subject to prior review by a court
  • Access to the data shall only be possible in the case of criminal prosecutions concerning “severe” offences. A catalogue of the respective offences is attached to the guidelines, among them murder, aggravated robbery, robbery causing death, forming criminal organisations, forming terrorist organisations but also certain offences under the German narcotics act.
  • Persons affected by an access to their communication data must in general be notified before the data is accessed by the authorities. In some circumstances, secret access might be legal, but notice must then be given afterwards.
  • Legal provisions with the obligation of professional secrecy (lawyers, doctors, etc) will not exempted from the collection of the data, but this data shall not be accessed
  • The creation of personal profiles and profiles consisting of location data is prohibited
  • The data retained must be protected by using a particularly secure encryption method (there no reference to a specific one in the guidelines)
  • If data is accessed, a double-verification-principle (four eyes) must be established
  • If a telecommunication provider does not automatically delete the retained data after the respective periods, he faces monetary fines

Gutachten des Europäischen Parlaments: Voraussetzungen für eine zulässige Vorratsdatenspeicherung

Wie geht es weiter mit einer Vorratsdatenspeicherung in Deutschland? Welche Möglichkeiten bestehen für den nationalen Gesetzgeber, neue Gesetze zu erlassen, nachdem der Gerichtshof der Europäischen Union (EuGH) im April 2014 die EU-Richtlinie zur Vorratsdatenspeicherung für unwirksam erklärt hat (C 293/12)? Ist eine nationale „VDS“ überhaupt möglich?

Antworten auf einige dieser Fragen versucht ein Gutachten des juristischen Dienstes des Europäischen Parlaments aus dem Dezember 2014 (PDF) zu geben. Das Gutachten wurde aufgrund von mehreren Fragen des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) verfasst. Das Gutachten hat einen Umfang von 27 Seiten und soll hier nicht in Gänze besprochen werden. Nachfolgend nur zu einigen, gerade aus der Sicht des deutschen Gesetzgebers relevanten, Aussagen.

Vorschriften zur Speicherung von Daten bei der Nutzung öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat fallen in den Anwendungsbereich von Art. 15 Abs. 1 der RL 2002/58/EG (in der Fassung der RL 2009/136/EG, PDF) und müssen zunächst die gesetzlichen Vorgaben dieser Vorschrift erfüllen. Ein durch gesetzliche Vorschriften zur Speicherung von Daten stattfindender Eingriff in die Rechte der Betroffenen ist danach dann erlaubt,

sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist.

Zudem setzen nationale Vorschriften, die sich auf die Erlaubnis des Art. 15 Abs. 1 der RL 2002/58/EG stützen, europäisches Recht um. Als Folge müssen sich die nationalen Regelungen an den Vorgaben der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF) messen lassen. Insbesondere Art. 7 (Achtung des Privat- und Familienlebens) und 8 (Schutz personenbezogener Daten) sowie Art. 52 Abs. 1 (Tragweite und Auslegung der Rechte und Grundsätze) der EU-Charta sind insofern durch den nationalen Gesetzgeber zu beachten. Bei der Auslegung dieser Artikel ist dann auch das Urteil des EuGH zur Unwirksamkeit der Richtlinie zur Vorratsdatenspeicherung und sind die konkreten Vorgaben des Gerichtshofs zu beachten. Hierzu gehören insbesondere:

  • klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und
  • Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen und
  • Bestimmungen zu entwickeln, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Das Gutachten des juristischen Dienstes geht jedoch nicht davon aus, dass nationale Regelungen zur Vorrastdatenspeicherung per se unzulässig wären. Die Verfasser gehen ausdrücklich davon aus, dass bestehende Regelungen zur Vorratsdatenspeicherung durchaus beibehalten werden können, wenn sie denn die Vorgaben der jeweiligen europäischen Richtlinie und der EU-Charta (unter Berücksichtigung der Auslegung durch den EuGH) erfüllen.

Das Gutachten geht zudem auf die Frage ein, inwieweit das Urteil sowohl bestehende internationale Abkommen zum Datenaustausch oder zur Datenspeicherung berührt und wie die Vorgaben des EuGH bei sich derzeit in Verhandlung befindenden Gesetzesvorhaben (Stichwort „Fluggastdaten“) zu berücksichtigen sind. Das Gutachten ist durchaus lesenswert und zeigt außerdem interessante Parallelen zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte auf.

Datenschutzbehörde: Verhängung von Geldbuße bei offenem E-Mail-Verteiler

Die Problematik ist rasch erläutert: ein Unternehmen, ein Verein oder auch eine Privatperson möchten einen besonderen Hinweis auf eine Veranstaltung oder Informationen zur Unternehmensentwicklung an einen bestimmten Empfängerkreis versenden. Das ganze per Mail.

Die Mail-Adressen sind vorhanden und ein paar hundert Empfänger kommen schnell zusammen. Danach kopiert man einfach alle Mail-Adressen in das „An“-Feld des Mailprogramms und versendet die Mail.

Die Folge: jeder Empfänger kann jede Mail-Adresse im Klartext in der Adresszeile der empfangen E-Mail lesen.

Beachtung des Datenschutzrechts
E-Mail-Adressen, die sich oft aus Vornamen und Nachnamen zusammensetzen, sind als personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) anzusehen. Dies bedeutet, dass sie nach § 4 Abs. 1 BDSG nur genutzt werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene eingewilligt hat. Im oben beschriebenen Fall des „offenen“ E-Mail-Verteilers, findet zudem eine Übermittlung der Mail-Adressen an Dritte statt. Auch eine solche Übermittlung muss gesetzlich oder durch eine Einwilligung legitimiert sein.

Behörden berichten von Bußgeldverfahren
Bereits im Juni 2013 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf ein Verfahren hingewiesen, in dem eine Mitarbeiterin eines Handelsunternehmens auf diese Art und Weise eine E-Mail an Kunden verschickt hat. Im Ergebnis lag eine Verletzung des Datenschutzrechts vor und die Behörde verhängte gegen die Mitarbeiterin ein Bußgeld.

Die Landesdatenschutzbeauftragte in Bremen berichtet in ihrem kürzlich veröffentlichten neuen Jahresbericht 2014 (PDF) von einem ähnlichen Verfahren. Im konkreten Fall hat ein Unternehmensgeschäftsführer eine E-Mail zwecks Einladung zu einer Unternehmensveranstaltung an mehrere hundert Empfänger über das Adressfeld „An…“ versandt (S. 86 des Berichts). Die Behörde verhängte eine Geldbuße wegen Verstoßes gegen eine Bußgeldvorschrift des BDSG, berücksichtigte bei der Höhe des Bußgeldes jedoch mindernd, dass der Geschäftsführer seinen Fehler selbst bemerkt und sich bei den Empfängern der Mail entschuldigt hatte.

Fazit
Beide Beispielsfälle zeigen, dass datenschutzrechtlich verantwortliche Stellen (wie Unternehmen oder Vereine) also darauf achten sollten, dass Mitarbeiter beim Umgang mit personenbezogenen Daten die erforderliche Umsicht walten lassen. Das BayLDA hatte in seiner Mitteilung zudem darauf verwiesen, dass in manchen Unternehmen diese Fragestellung offensichtlich nicht die entsprechende Bedeutung beigemessen wird. Von Seiten der Unternehmensleitung würden die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht. Daher werde das BayLDA in einem vergleichbaren Fall in Kürze einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen.

Flug #4U9525: Lag es am deutschen Datenschutzrecht?

Für das Magazin TIME scheint festzustehen, dass die strengen Vorgaben des deutschen Datenschutzrechts zum Umgang mit Gesundheitsdaten dem Co-Piloten des am Dienstag verunglückten Fluges von Germanwings dabei behilflich waren, seinem Arbeitgeber nichts von der wohl bestehenden Krankschreibung mitzuteilen und Germanwings auch nicht selbst von einer möglichen Erkrankung hätte Kenntnis nehmen dürfen. Unter dem Titel „German Privacy Laws Let Pilot ‘Hide’ His Illness From Employers“ wird darüber berichtet, wie schwierig es für deutsche Arbeitgeber sein kann, Informationen zum Gesundheitszustand von Arbeitnehmern ohne deren Einwilligung zu erlangen.

Die Vorschriften des deutschen Datenschutzrechts zum Umgang mit sog. „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG), zu denen etwa auch Informationen zum Gesundheitszustand gehören, sind streng. In der heutigen Zeit des „Internets der Dinge“, der „Wearables“ und tragbarer smarter Fitnessgeräte oft sogar so streng, dass sie jungen Unternehmen in diesem Bereich den Markteintritt und ein wirtschaftliches Handeln sehr erschweren. Hierüber muss und sollte man in Zukunft auch sprechen. Nachfolgend soll es jedoch allein um zwei Fragen gehen, die der Artikel der TIME meines Erachtens zumindest unvollständig beleuchtet.


Hätte Germanwings Informationen zum Gesundheitszustand einholen dürfen?

Zwischen dem Co-Piloten und Germanwings bestand ein Arbeitsverhältnis. Für Datenverarbeitungen in diesen Fällen stellt § 32 BDSG eine Sondervorschrift dar. Nach § 32 Abs. 1 S. 1 BDSG dürfen für Zwecke des Beschäftigungsverhältnisses personenbezogene Daten verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Nun handelt es sich bei Daten zum Gesundheitszustand eines Betroffenen jedoch auch um „besondere Arten personenbezogener Daten“. Diese dürfen grundsätzlich nur mit der ausdrücklichen Einwilligung des Betroffenen verarbeitet werden oder aber es liegt eine gesetzliche Erlaubnisnorm vor, die die Verarbeitung legitimiert. Die Voraussetzungen, unter denen besondere Arten personenbezogener Daten ausnahmsweise auch ohne Einwilligung des Betroffenen durch den Arbeitgeber erhoben, verarbeitet oder genutzt werden dürfen, finden sich für Arztpraxen ganz grundsätzlich in §§ 28 Abs. 6 bis 9 BDSG (daneben gibt es viele Spezialnormen, etwa in den Büchern des SGB, die datenschutzrechtliche Vorgaben für bestimmte Beziehungen, z. B. Arzt gegenüber Krankenversicherung oder Arzt gegenüber anderem Arzt, machen).

Man kann nun zunächst debattieren, ob denn § 28 Abs. 6 BDSG überhaupt im Beschäftigungsverhältnis anwendbar ist. Immerhin existiert ja die Spezialnorm des § 32 BDSG. In der juristischen Literatur wird (u.a. mit Verweis auf die Gesetzesmaterialien) davon ausgegangen, dass auch im Beschäftigungsverhältnis die §§ 28 Abs. 6 bis 9 BDSG als spezielle Normen zum Umgang mit Gesundheitsdaten vorgehen. § 32 BDSG kann also für die Verarbeitung von sensiblen Daten nicht als Grundlage herangezogen werden.

Für die Datenverarbeitungen im Rahmen von arbeitsvertraglichen Beziehungen (zwischen Germanwings und dem Co-Piloten) kommt § 28 Abs. 6 Nr. 3 BDSG in Betracht. Danach ist die Erhebung, Verarbeitung oder Nutzung der Daten gestattet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt.

Ein Anspruch im Sinne der Vorschrift ist ganz allgemein gesprochen das Recht einer Person, von einer anderen Person ein Tun oder Unterlassen zu verlangen. Germanwings hatte gegenüber dem Co-Piloten aus dem Arbeitsverhältnis bestimmte Rechte. Ohne Einzelheiten zu kennen, kann ich mir gut vorstellen, dass gerade bei einer Tätigkeit als Pilot von Verkehrsmaschinen der Arbeitgeber etwa ein Recht hat, einen Piloten nicht einzusetzen, wenn Anzeichen für eine Fluguntauglichkeit bestehen. Man könnte also durchaus argumentieren, dass der Arbeitgeber zur Ausübung seiner bestehenden rechtlichen Ansprüche diejenigen Datenverarbeitungen vornehmen durfte, die zur Geltendmachung seines Rechts einen Piloten nicht einzusetzen, erforderlich sind.

Die entscheidende Frage ist dann freilich, wie der Arbeitgeber etwa von einer möglichen Fluguntauglichkeit Kenntnis erlangen kann. Es geht dann um das Tatbestandsmerkmal der „Erforderlichkeit“. In welchem Umfang sind Datenerhebungen von Informationen zum Gesundheitszustand noch erforderlich? Sind Kontrollen der Piloten am Ende jeder Woche erforderlich? Ist eine Kenntnisnahme von Kontrollergebnissen aus Kliniken oder Arztpraxen jedes Jahr erforderlich? Dies sind Abwägungsfragen im Einzelfall und von den konkreten Umständen abhängig.

Zudem müssen bei einer derartigen Datenverarbeitung auch noch die schutzwürdigen Interessen der Betroffenen beachtet werden. Diese Interessen dürften freilich etwa dann zurückstehen, wenn der Arbeitgeber zum Beispiel Kenntnis von einer möglichen Erkrankung erhält, die den Arbeitnehmer an der Erfüllung seiner arbeitsvertraglichen Pflichten hindert und damit gleichzeitig (wie hier) möglicherweise noch eine Gefährdung für andere Personen einhergeht. Eine darauf erfolgende Nachfrage zu gesundheitlichen Umständen und damit verbundene Erhebung von Gesundheitsdaten kann also durchaus gerechtfertigt sein. Die Einwilligung des Betroffenen ist hierfür nicht immer erforderlich.

Hätten die Ärzte von sich aus Daten übermitteln dürfen?
In dem Beitrag bei TIME heißt es unter anderem:

But under German law, only Lubitz – and not his doctor – would have had the legal right to disclose the details of his health to his employers at Germanwings.

Auch diese Aussage ist meines Erachtens in dieser Pauschalität nicht korrekt.

Die Ärzte hätten durchaus datenschutzrechtlich die Möglichkeit gehabt, Informationen zum Gesundheitszustand weiterzugeben. Dies nämlich dann, wenn eine Gefährdung der „öffentlichen Sicherheit“ zu befürchte gewesen wäre. Jedoch muss man hier direkt eine ganz wichtige Einschränkung machen: wann diese Gefährdung offensichtlich wird, ist freilich keine rechtlich zu definierende Vorgabe. Auch wenn etwa ein Verkehrspilot sich in Behandlung befindet, so darf man durchaus davon ausgehen, dass hierdurch nicht direkt stets die öffentliche Sicherheit bedroht ist. Auch Piloten können ganz normal erkranken. Es handelt sich also um eine schwierige Frage des Einzelfalls und vor allem auch der konkreten Umstände.

Um zum Thema zurückzukommen, liegt es jedoch nicht am deutschen Datenschutzrecht, dass eine Übermittlung nicht hätte stattfinden dürfen. § 28 Abs. 8 BDSG enthält zwei Tatbestände, bei denen eine Datenverwendung für andere Zwecke (als für die Zwecke der ursprünglichen Erhebung, etwa in der Behandlung in der Arztpraxis) erlaubt ist. Zum einen kann nach § 28 Abs. 8 S. 1 BDSG eine Zweckänderung unter den Voraussetzungen des § 28 Abs. 6 Nr. 1 – Nr. 4 BDSG und Abs. 7 S. 1 BDSG erfolgen. Vorliegend relevant ist jedoch § 28 Abs. 8 S. 2 BDSG, wonach die Übermittlung aus Sicherheitsinteressen möglich ist. Die Übermittlung (das ist die Weitergabe der Daten an Dritte, z. B. die Fluggesellschaft) von Gesundheitsdaten ist erlaubt, wenn die Angaben dazu verwendet werden sollen, erhebliche Gefahren für die staatliche und öffentliche Sicherheit abzuwehren. Die bloße Gefährdung der staatlichen und öffentlichen Sicherheit reicht nicht aus. Der Auswahlmaßstab ist (aufgrund der Schutzwürdigkeit der Daten) besonders eng. Eine Verarbeitung kommt nur bei „erheblichen“ Gefahren in Betracht.

Es muss also um eine gesteigerte Gefahrenlage gehen, welche sich etwa aus der besonderen Höhe und Güte der betroffenen Rechtsgüter oder auch aus der besonderen zeitlichen Nähe der Gefahr ergeben kann. Der Begriff der öffentlichen Sicherheit umfasst den Schutz zentraler Rechtsgüter wie Leben, Gesundheit, Freiheit, Ehre, Eigentum und Vermögen des Einzelnen sowie die Unversehrtheit der Rechtsordnung und der staatlichen Einrichtungen (so etwa das Bundesverwaltungsgericht, BVerwG 6 C 21.07). Erfasst wären also auch das Leben und die Gesundheit von Flugpassieren, welche einer ehrblichen Gefahr ausgesetzt sein müssten.

Nun muss man im Konjunktiv schreiben: hätte ein behandelnder Arzt also etwa tatsächliche Anhaltspunkte dafür gehabt, dass ein Co-Pilot aufgrund einer Erkrankung eine derartig schreckliche Tat plante, dann hätte er die Information zur Krankschreibung im Einzelfall auch an den Arbeitgeber zur Abwehr von einer erheblichen Gefahr, etwa für die Leben von Fluggästen, übermitteln dürfen. Für mich stellt sich jedoch die Frage, ob man so etwas aber überhaupt ahnen oder vorsehen kann. Wo zieht man hier die Grenze? Auch das ist jedoch keine Frage des Datenschutzrechts.

Fazit
Pauschal davon zu sprechen, das deutsche Datenschutzrecht hätte eine Kenntnisnahme einer möglichen Erkrankung verhindert, halte ich daher für zweifelhaft. Sicher, die Anforderungen sind hoch. Diese stammen im Übrigen nicht etwa nur aus der Feder des deutschen Gesetzgebers. So regelt § 28 Abs. 8 S. 2 BDSG etwa einen Fall zulässiger Zweckänderung, der sich aus Art. 8 Abs. 4 der EU-Datenschutzrichtlinie (RL 95/46/EG) ergibt. Dort ist die Rede von „Gründen eines wichtigen öffentlichen Interesses“, wann eine Datenverarbeitung von besonderen Arten personenbezogener Daten erlaubt ist. Vorliegend habe ich ausschließlich einen Blick auf die datenschutzrechtlichen Vorgaben des BDSG geworfen. Gerade Ärzte würden sich daneben zudem dem Risiko einer strafrechtlichen Verfolgung ausgesetzt sehen, wenn sie nämlich ein Berufsgeheimnis unbefugt Dritten offenbaren (§ 203 Abs. 1 Nr. 1 StGB). Im vorliegenden Fall könnte man jedoch an den Rechtfertigungsgrund des rechtfertigenden Notstandes (§ 34 StGB) zu Gunsten des Arztes denken. Voraussetzung ist, dass die Tat (des Arztes, also die Weiterleitung der Gesundheitsinformationen) Individualinteressen Dritter dient. § 34 StGB kommt als Rechtfertigungsgrund z. B. in Betracht, wenn sich ein Patient trotz Kenntnis und Belehrung durch einen Arzt weigert, gefährdete Personen über die bestehende Gefahr einer Infektion, etwa HIV, aufzuklären (so das OLG Frankfurt am Main, Urteil vom 05.10.1999 – 8 U 67/99).

Datenschutzbehörde: Einsatz von Facebook ‚Custom Audiences‘ ohne Einwilligung ist rechtswidrig

Das bayerische Landesamt für Datenschutzaufsicht (die in Bayern für den privaten Bereich zuständige Aufsichtsbehörde, BayLDA), hat in dieser Woche seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013/2014 vorgestellt. Ich berichtete hierzu bereits im Blog.

In dem Tätigkeitsbericht (auf S. 172) wird unter anderem auch knapp auf die Frage nach dem datenschutzrechtlich konformen Einsatz des Dienstes „Custom Audiences“ von Facebook eingegangen. Die Auffassung der Behörde zu dem Einsatz des Dienstes:

Unternehmen, die das Facebook Produkt „Custom Audiences“ einsetzen, riskieren die Eröffnung eines Bußgeldverfahrens.

Diese Information sollte mindestens für Unternehmen mit Sitz in Bayern, die diese Funktion des sozialen Netzwerkes nutzen, von besonderem Interesse sein. Es ist zudem nicht auszuschließen, dass andere Landesdatenschutzbehörden im Ergebnis zu einer ähnlichen Bewertung des Dienstes kommen.

Um was geht es?

Ganz vereinfacht dargestellt, geht es bei „Custom Audiences“ um eine Funktion, mit der Unternehmen zielgenauere Werbung ausspielen können. Hierzu ist es (in einer Alternative des Dienstes) erforderlich, dass personenbezogene Datensätze, die als Identifikationskennungen eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen gehashed und dann bei Facebook hochgeladen und damit an Facebook weitergegeben werden. Auch Facebook hashed die Mail-Adressen seiner Nutzer und vergleicht die Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Bei einer Übereinstimmung der Werte gehört der jeweils übermittelte Datensatz also einem Facebook-Nutzer.

Ist das Datenschutzrecht anwendbar?

Nun könnte man meinen, aufgrund des Hashens der Daten geht jeglicher Personenbzug verloren. Damit wäre das Datenschutzrecht nicht anwendbar. Dem ist jedoch nicht so. Nach Auffassung des BayLDA könnte Facebook

ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen.

Es liegen also personenbezogene Daten vor, deren Übermittlung an Facebook einer Grundlage (entweder im Gesetz oder eine Einwilligung) bedarf.

Datenschutzkonforme Nutzung?

Der Kollege Thomas Schwenke hat bereits einen ausführlichen Artikel zum Thema „Datenschutz & Facebook Audiences“ verfasst, auf den ich hier hinweisen möchte. Im Endeffekt kommt er zu dem Ergebnis, dass für die Nutzung der E-Mail-Adresse oder Telefonnummer des Nutzers entweder dessen Einwilligung erforderlich ist oder aber ein Unternehmen sich möglicherweise auch auf gesetzliche Erlaubnistatbestände berufen könnte. Dies jedoch sicherlich nicht ohne rechtliches Risiko (Stichwort: ist die Mail-Adresse ein Listendatum im Sinne des § 28 Abs. 3 BDSG?). Eine Datenübermittlung aufgrund einer Interessenabwägung (§ 28 Abs. 1 S. 1 Nr. 3 BDSG) könnte nach Meinung von Thomas und auch wie ich finde eventuell als Erlaubnistatbestand dienen. Jedoch müsste man dazu tatsächlich den Einzelfall begutachten.

Das BayLDA scheint sich diesbezüglich jedoch bereits auf eine einzige Möglichkeit für die wirksame Übermittlung festgelegt zu haben:

Es bedarf somit einer Einwilligung der Personen, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden.

Die Behörde weist zudem abschließend darauf hin, dass der Einsatz des Dienstes ihrer Ansicht nach ohne Einwilligung der Nutzer eine Ordnungswidrigkeit darstellt, die entsprechend mit Bußgeldern sanktioniert werden könne.

Fazit

Unternehmen, die „Facebook Audiences“ nutzen, sollten diese Information daher, zumindest bei Sitz in Bayern, ernst nehmen und eventuell die eigenen Prozesse entsprechend anpassen. In Panik sollte man meines Erachtens nicht ausbrechen, da es zumindest (je nach Einzelfall) auch Argumente für eine datenschutzkonformen Einsatz ohne Einwilligung geben kann.

Bayerischer Datenschützer: Keine Aussetzungen unter Safe Harbor; erhöhtes Bußgeld bei Browser-Fingerprinting

Heute hat der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) seinen 6. Tätigkeitsbericht (PDF) für die Jahre 2013 und 2014 vorgelegt. Das BayLDA ist zuständig für die Überwachung der Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern. Der Tätigkeitsbericht ist daher auf den Bereich des Datenschutzes in der Privatwirtschaft beschränkt. Die Ausführungen in dem Bericht sind für datenschutzrechtlich Interessierte sicherlich lesenswert und geben verantwortlichen Stellen in Bayern einen praxisnahen „Leitfaden“ an die Hand, wie die für sie zuständige Behörde das Datenschutzrecht durchsetzt. Nachfolgend zu einigen in dem Bericht behandelten Themen.

Safe Harbor: Keine Aussetzungen von Datentransfers
Bekanntlich sind vor allem die deutschen Datenschutzbehörden von dem Instrument „Safe Harbor“ als Grundlage für Übermittlungen personenbezogener Daten in die USA nicht überzeugt. Erst letzte Woche wurde eine Entschließung der deutschen Behörden veröffentlicht, nach der die

Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA entfaltet.

Das BayLDA schlägt hier in seinem Tätigkeitsbericht etwas pragmatischere (und meiner Ansicht nach die richtigen) Töne an. Die betreffende Entscheidung der Kommission (2000/520/EG vom 26.07.2000) ist nämlich nach dem Tätigkeitsbericht gegenwärtig nach wie vor in Kraft und für die Datenschutzbehörden der Mitgliedstaaten bindend (Art. 25 Abs. 6 Satz 2 der geltenden Datenschutzrichtlinie 95/46/EG). Das BayLDA weiter:

Auch wenn gerade die deutschen Datenschutzbehörden bereits mehrfach Kritik an der praktischen Umsetzung des Safe-Harbor-Systems geäußert haben, ist die Safe-Harbor-Kommissionsentscheidung auch für sie bindend. Damit ist nach wie vor davon auszugehen, dass US-Unternehmen, die eine aktuelle gültige Safe-Harbor-Zertifizierung besitzen, jedenfalls grundsätzlich ein „angemessenes Datenschutzniveau“ im Sinne von § 4b BDSG aufweisen. (S. 105)

Richtigerweise geht das BayLDA daher davon aus, dass personenbezogene Daten aus Deutschland an US-Unternehmen mit gültiger Safe Harbor-Zertifizierung übermittelt werden dürfen, vorausgesetzt die Datenübermittlung selbst ist ebenfalls gerechtfertigt (etwa durch eine Einwilligung oder auf der Grundlage eines Vertrages). Für deutsche Behörden besteht nach Art. 3 Abs. 1 Satz 1 Buchstabe b der Safe Harbor-Entscheidung die Möglichkeit, einzelne Datenübermittlungen an Safe Harbor-zertifizierte US-Unternehmen u. a. aussetzen. Safe Harbor selbst kann jedoch nur von der EU-Kommission abgeändert oder aufgehoben werden. Erforderlich für die Untersagung einzelner Datentransfers ist, dass „eine hohe Wahrscheinlichkeit besteht, dass die (Safe Harbor-Datenschutz-)Grundsätze verletzt werden“. Auf Grundlage dieser Gegebenheiten hat das BayLDA bislang jedoch keine Maßnahmen zur Aussetzung von Transfers personenbezogener Daten durch Unternehmen aus Bayern in die USA eingeleitet und es sind derzeit keine entsprechenden Maßnahmen vorgesehen.

Browser-Fingerprinting: Erhöhtes Bußgeld bei rechtswidriger Datenverarbeitung
Ein anderes Thema in dem wirklich lesenswerten Bericht ist das Tracking mit sog. „fortgeschrittenen Webtechnologien“ (ab S. 57). Zunächst werden einige Tracking-Technologien vorgestellt (u.a. Flash-Cookies; Canvas-Fingerprinting; Browser-Fingerprinting). Nach Ansicht des BayLDA ermöglicht der Einsatz dieser Trackingmethoden, dass der Browser eines Webseitenbesuchers mit sehr hoher Wahrscheinlichkeit eindeutig bestimmt werden kann. Dies auch dann, wenn der Nutzer das Setzen von herkömmlichen Cookies auf seinem PC ablehnt. Das BayLDA weist dann auf die Voraussetzungen des § 15 Abs. 3 TMG hin, wonach das Erstellen von Nutzungsprofilen unter Pseudonym zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien rechtlich zulässig ist, wenn ein Nutzer einem solchen Profil nicht widerspricht. Das BayLDA geht folglich grundsätzlich von der Möglichkeit eines rechtlich zulässigen Einsatzes der oben benannten Trackingmethoden auf der Grundlage von § 15 Abs. 3 TMG aus. Einschränkend fügt die Behörde jedoch hinzu, dass die Nutzer freilich auf ihr Widerspruchsrecht und auf die Datenverarbeitung an sich hinzuweisen sind. Nach Ansicht des BayLDA

gestaltet sich die praktische Umsetzung dieser gesetzlichen Anforderung jedoch oftmals als nicht ausreichend.

Häufig würden die Informationen nämlich nicht transparent und auch nicht verständlich dargestellt werden. Für die Praxis besonders wichtig ist in diesem Zusammenhang der Hinweis der Behörde, dass (im Fall der mangelnden Umsetzung der gesetzlichen Vorgaben) das Risiko eines Bußgeldes insofern erhöht wäre, da das BayLDA

den ordnungswidrigen Einsatz von Verfahren, mit denen die Nutzereinstellungen zum Schutz vor einer Nutzungsprofilbildung gezielt ausgehebelt werden, verstärkt mit Bußgeldern ahnden.

Der Tätigkeitsbericht befasst sich mit vielen weiteren Thematiken: von Fragen um den betrieblichen Datenschutzbeauftragen (was ist etwa bei einer längeren, krankheitsbedingten Abwesenheit zu tun?), über die Auftragsdatenverarbeitung und Werbung sowie Adresshandel wird eine bunte Palette an Themen behandelt.

Datenschutzbehörde kritisiert Big Data-Analysen in der Fußball-Bundesliga

Am vergangenen Freitag hat die Landesdatenschutzbeauftragte in Bremen ihren Jahresbericht für das Jahr 2014 (PDF) vorgestellt. In dem Bericht geht es unter anderem auch um Big Data-Analysen im Zusammenhang mit der Fußball-WM 2014 in Brasilien und den Einsatz modernen Analysetechnologien in der Fußball-Bundesliga.

In Ihrem Jahresbericht verweist die Landesdatenschützerin auf Presseberichte (aus dem Handelsblatt), nach denen in der Bundesliga unter anderem der TSG 1899 Hoffenheim und der FC Bayern München bei der Auswertung von Spielen und der Leistung der eigenen Spieler auf die Technologie der Softwarefirma SAP setzen.

Nach Auffassung der Landesdatenschützerin richtet sich die Rechtmäßigkeit der Verarbeitung personenbezogener Daten der Fußballspieler im Rahmen der Big Data-Analysen allein nach § 32 des Bundesdatenschutzgesetzes (BDSG). Denn die Spieler befinden sich mit dem jeweiligen Verein in einem Beschäftigtenverhältnis. Personenbezogene Daten der Fußballspieler dürfen im Rahmen einer solchen Rechtsbeziehung nach § 32 Abs. 1 S. 1 BDSG

für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Nach Ansicht der Landesdatenschützerin sind jedoch Datenanalysen zum Zwecke der Steigerung der Leistung einzelner Spieler oder auch der Effektivität der Mannschaftsleistung nicht von diesem Erlaubnistatbestand erfasst. In ihrem Jahresbericht führt sie zu der Erlaubnis des § 32 Abs. 1 S. 1 BDSG aus:

Von wirtschaftlichem oder sportlichem Erfolg, der durch Datenverarbeitungen gefördert werden soll, steht da nichts. (Jahresbericht, S. 11)

Bereits diese Auffassung ist meiner Ansicht nach zu eng. Natürlich kann in einem allgemein gültigen Bundesdatenschutzgesetz nichts von „wirtschaftlichem und sportlichen Erfolg“ stehen. Es handelt sich nicht um ein „Fußballdatenschutzgesetz“ oder ähnliches. Die Vorschrift ist absichtlich offen und neutral formuliert, um dem weiten Anwendungsbereich des BDSG zu entsprechen.

Zudem: was, wenn nicht der sportliche und sich damit logischerweise einstellende wirtschaftliche Erfolg ist Gegenstand des Beschäftigungsverhältnisses zwischen einem Fußballverein und seinem angestellten Spieler? Zur Durchführung des Beschäftigungsverhältnisses kann es meiner Ansicht nach daher durchaus erforderlich sein, die während eines Spiels gesammelten Daten auszuwerten.

Man mag meinen, dass als datenschutzrechtlicher „Ausweg“ dann noch die Einwilligung des Fußballspielers in Betracht kommt. Denn wenn doch der Spieler selbst mit der Analyse der Daten einverstanden ist, dann kann doch wohl kein Zweifel an der Rechtmäßigkeit der Datenverarbeitung bestehen. Doch leider sieht die Landesdatenschützerin (und im Übrigen auch viele andere Landesdatenschützer) auch dieses Vorgehen als rechtlich zweifelhaft an. Die einer Einwilligung notwendig innewohnende Freiwilligkeit soll nämlich in einem Beschäftigungsverhältnis nicht gegeben sein. Damit würde eine wichtige Voraussetzung für die Wirksamkeit der Einwilligung fehlen. Die Landesdatenschutzbeauftragte führt aus:

auch im Verhältnis zwischen hoch verdienenden Bundesligaprofis und ihren Vereinen muss an die Freiwilligkeit von Einwilligungen ein Fragezeichen gesetzt werden. (Jahresbericht, S. 11)

Auch diese Auffassung ist meiner Ansicht nach zumindest angreifbar. Denn zu Ende gedacht würde man damit den betroffenen Arbeitnehmer, hier den Fußballprofi, datenschutzrechtlich entmündigen. Man würde ihm die grundrechtlich geschützte Möglichkeit nehmen, sein Recht auf informationelle Selbstbestimmung auszuüben, wenn für die Frage der Zulässigkeit der Einwilligung nur noch objektive Kriterien und Perspektiven Dritter entscheidend wären.

Sind also die derzeit in der Fußball Bundesliga durchgeführten Big Data-Analysen datenschutzrechtswidrig? Ich denke, dass die Datenanalysen in deutschen Fußballvereinen durchaus datenschutzrechtlich begleitet werden sollten, um, falls erforderlich, entsprechend steuernd eingreifen zu können. Eine generelle Unzulässigkeit der Analysen kann ich jedoch nicht erkennen.

Abmahnung bei Datenschutzverstößen: Bundesrat nimmt Stellung und will noch mehr (Update)

Am 4. Februar 2015 hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Ich berichtete hierzu im Blog. Im Rahmen des ordentlichen Gesetzgebungsverfahrens, hat sich nun auch der Bundesrat mit dem Gesetzesentwurf zu befassen und wird auf seiner nächsten Sitzung am 27. März 2015 über die eigenen Empfehlungen hierzu beraten.

Die Empfehlungen des federführenden Rechtsausschusses, des Ausschusses für Agrarpolitik und Verbraucherschutz, des Ausschuss für Innere Angelegenheiten und des Wirtschaftsausschusses wurden nun veröffentlicht (BR-Drs. 55/1/15, PDF) und bergen einige Überraschungen. Das Dokument enthält die Vorschläge jedes Ausschusses und es werden nicht alle dort aufgeführten Vorschläge in die finale Stellungnahme des Bundesrates aufgenommen, da sich die Vorschläge teilweise auch ausschließen. Dennoch möchte ich nachfolgend auf einige der Empfehlungen der Ausschüsse eingehen, gerade weil auch völlig neue Vorschläge gemacht werden.

Kein genereller Anspruch auf Beseitigung
Der Wirtschaftsausschuss gibt zu bedenken (Ziff. 5), dass bislang kein Bedarf für einen Beseitigungsanspruch im Unterlassungsklagengesetz (UKlag) gesehen wurde und dieser nun im Rahmen des Gesetzesentwurfs neu eingeführt werden soll. Sollte der Beseitigungsanspruch generell und nicht nur spezifisch für Verstöße gegen das Datenschutzrecht eingeführt werden, bestünde vielmehr die Gefahr, dass die Unternehmen in diesem Bereich weitgehenden Forderungen ausgesetzt werden, deren finanzieller und organisatorischer Aufwand in keinem Verhältnis zu der begangenen Verletzung des Verbraucherschutzes stünden.

Erweiterung des Verletzungstatbestandes in § 2 Abs. 2 S. 1 Nr. 11 UKlaG
Der Ausschuss für Agrarpolitik und Verbraucherschutz schlägt vor (Ziff. 6), den Wortlaut der vorgeschlagenen Nr. 11 auf jenen des ursprünglichen Referentenentwurfs zu ändern und damit zu erweitern. Es soll dann heißen:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Dem Ausschuss für Verbraucherschutz ist dabei ein Dorn im Auge, dass der Gesetzesentwurf der Bundesregierung den Anwendungsbereich der Nr. 11 grundsätzlich auf Vorschriften beschränkt, „welche die Zulässigkeit regeln“. Zur Begründung führt der Ausschuss aus, dass insbesondere Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung nach den §§ 33, 34 und 35 Bundesdatenschutzgesetz (BDSG) erfasst werden sollten. Auch die Beschränkung der vorgeschlagenen Nr. 11 auf Datenverarbeitungen zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken kritisiert der Ausschuss.

Im Ergebnis strebt man hier also erneut jene unbestimmte Ausweitung der Vorschrift an, die bereits nach Veröffentlichung des Referentenentwurfs kritisiert und im Gesetzesentwurf folgerichtig nicht übernommen wurde.

Dieser Vorschlag des Ausschusses für Verbraucherschutz konkurriert mit einem Vorschlag des Ausschuss für Wirtschaft (Ziff. 7), der darum bittet, im weiteren Gesetzgebungsverfahren zu prüfen, wie die datenschutzrechtlichen Vorschriften, die für eine Verbandsklage in Betracht kommen sollen, konkretisiert und weiter eingegrenzt werden können. Der im Gesetzesentwurf verwendete Begriff der „vergleichbaren kommerziellen Zwecke“ erscheint nämlich zu weitgehend. Denn haben Unternehmen Kontakt mit Verbrauchern, ist eigentlich per se von einer kommerziellen Verarbeitung von Daten auszugehen. Wäre dann also praktisch jede Datenverarbeitung eines Unternehmens mit Bezug zu einem Verbraucher eine solche für „vergleichbare kommerzielle Zwecke“? Der Anwendungsbereich ist für den Wirtschaftsausschuss damit unklar und stellt für die Unternehmen eine Rechtsunsicherheit dar.

Gefahr paralleler Rechtstreitigkeiten durch Verbraucherverbände und Datenschutzbehörden
Der Innen- als auch der Wirtschaftsausschuss (Ziff. 11) möchten im weiteren Gesetzgebungsverfahren die Pflicht für Gerichte zur Anhörung der zuständigen Datenschutzbehörde um eine Verpflichtung der anspruchsberechtigten Stellen ergänzen. Danach soll die zuständige Datenschutzaufsichtsbehörde bereits vor außergerichtlicher Geltendmachung oder vor Klageerhebung unterrichtet und angehört werden. Die Datenschutzbehörden besitzen schließ0lich auch einen gesetzlichen Beratungsauftrag, auch für Unternehmen (§ 38 Abs. 1 S. 2 BDSG). Dieser Beratungsauftrag sowie das Vertrauen von Unternehmen in die Verbindlichkeit von Aussagen der Datenschutzaufsichtsbehörden würden nach Ansicht der beiden Ausschüsse erheblich geschwächt, wenn Aufsichtsbehörden bei ihrer Beratungstätigkeit keine Kenntnis von etwaigen durch die Verbände eingeleiteten, gleich gelagerten Parallelverfahren hätten.

Neu: Einführung eines allgemeinen Koppelungsverbots im BDSG
Sowohl der Rechtsausschuss als auch der Innenausschuss (Ziff. 12) schlagen völlig unabhängig von dem ursprünglichen Gesetzesentwurf eine Anpassung des § 28 Abs. 3b BDSG vor. Es soll ein allgemeines Koppelungsverbots im Datenschutzrecht eingeführt werden. Derzeit sieht § 28 Abs. 3b BDSG noch vor, dass die verantwortliche Stelle den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen abhängig machen darf, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Der letzte Teil des Satzes soll nun jedoch gestrichen werden: „Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen.“

Die mit diesem Vorschlag für die Einführung eines allgemeinen Koppelungsverbots verbundene Einschränkung der Vertragsgestaltungsfreiheit der Unternehmen erscheint für die Ausschüsse gerechtfertigt. Der Vorschlag zur entsprechenden Anpassung des BDSG ist jedoch nicht neu. Bereits im Rahmen der letzten BDSG-Novelle wurde ein solches allgemeines Kopplungsverbot durch den Bundesrat vorgeschlagen (BR-Drs. 4/09), jedoch am Ende nicht in das Gesetz aufgenommen.

Neu: Auskunftsrecht für Betroffene von Persönlichkeitsrechtsverletzungen
Der Rechtsausschuss schlägt zudem apart von den Anpassungen des Gesetzesentwurfs vor (Ziff. 15), dass im weiteren Gesetzgebungsverfahren geprüft werden möge, ob zur Umsetzung der Rechtsprechung des Bundesgerichtshofs (BGH) vom 1. Juli 2014 (Az. VI ZR 345/13) eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Persönlichkeitsrechtsverletzers erlangen kann. Der BGH hatte in diesem Urteil entschieden, dass ein Geschädigter mangels datenschutzrechtlicher Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG keinen Anspruch gegenüber einem Online-Bewertungsportal auf Auskunft über Namen und Anschrift desjenigen Nutzers habe, der in dem Portal unwahre und damit unzulässige Tatsachenbehauptungen über ihn aufstellt (hierzu der Kollege Thomas Stadler in seinem Blog). Der Portalbetreiber als Dienstanbieter i. S. d. TMG ist nach der Rechtsprechung daher nicht befugt, ohne die Einwilligung des Nutzers Auskünfte über dessen personenbezogene Daten zu erteilen. Für den Rechtsausschuss ist das Fehlen des Auskunftsanspruchs bedenklich und stellt eine Regelungslücke dar, welche durch den Gesetzgeber geschlossen werden muss.

Fazit
Die Ausschüsse im Bundesrat scheinen den Gesetzesentwurf genutzt zu haben, um nicht nur an dem Entwurf selbst inhaltlich Anpassungen vorzuschlagen, sondern auch noch weitere datenschutzrechtliche Themen, die eventuell schon etwas länger auf der gesetzgeberischen To-Do-Liste stehen, in das Gesetzgebungsverfahren einzuführen. Ob ein solches Vorgehen, unabhängig von der inhaltlichen Diskussion, in jeder Hinsicht begrüßenswert erscheint, mag man positiv oder negativ beantworten. Innenminister de Maizère hat erst letzte Woche angekündigt, dass man die Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) bis Juni im Rat abschließen möchte, um dann die Verhandlungen mit dem Parlament und der Kommission aufzunehmen. Wenn dann etwa im Jahre 2015 die Datenschutz-Grundverordnung verbindliches Recht in Europa wird, so müssen sich deutsche Regelungen zum Datenschutz an diesen Vorgaben messen lassen und werden aufgrund des Vorrangs des EU-Rechts im Zweifel unwirksam sein. Auch in der DS-GVO soll es etwa Vorgaben für ein Verbandsklagerecht von Verbraucherorganisationen geben. Die genauen Voraussetzungen und die Reichweite des Klagerechts ist derzeit aber noch umstritten. Bestehende deutsche Regelungen, die nun auf die schnelle noch ins Gesetz gegossen werden, würden dann jedoch ihre Wirksamkeit verlieren. Man würde also gesetzliche Vorgaben mit bereits jetzt bekannter Haltbarkeit schaffen. Der Sinn hinter einem solchen Vorgehen erschließt sich mir nicht unbedingt.

Update vom 27.3.2015:
Heute hat der Bundesrat über die oben erwähnten Ausschussempfehlungen abgestimmt. In der angenommenen Stellungnahme des Bundesrates (BR-Drs. 55/15(B)) sind die von mir oben angesprochenen Änderungswünsche, insbesondere die „Rückkehr“ zum Referentenentuwrf, das Kopplungsverbot und der Vorschlag zur Einführung eines Auskunftsanspruchs im TMG, enthalten. Es bleibt abzuwarten, wie und ob die vom Bundesrat vorgeschlagenen Änderungen im weiteren Gesetzgebungsverfahren Bestand haben werden.

Empfehlung im Bundesrat: Mehr Einsatz für den Schutz von Beschäftigtendaten

Am 27. März 2015 wird der Bundesrat erneut tagen. Auf der Tagesordnung wird auch die Stellungnahme des Bundesrates zum Jahreswirtschaftsbericht 2015 der Bundesregierung (BT-Drs. 18/3840, PDF) stehen.

Der im Bundesrat für die Beratung zu dem Jahreswirtschaftsbericht 2015 federführend verantwortliche Wirtschaftsausschuss möchte dem Bundesrat empfehlen, dass sich die Bundesregierung in den Verhandlungen um die Datenschutz-Grundverordnung im Rat der Europäischen Union verstärkt für die Berücksichtigung der Belange der Arbeitnehmer in einer digitalisierten Arbeitswelt einzusetzen. Dies geht aus der Empfehlung des Wirtschaftsausschusses (BR-Drs. 31/1/15, PDF) vom 13. März 2015 hervor.

Danach empfiehlt der Ausschuss dem Bundesrat festzustellen, dass

mit einer stärkeren Digitalisierung das Potenzial für neue Arbeitsplätze in Industrie, Dienstleistung und Handel besteht.

Gleichzeitig weist die Empfehlung des Wirtschaftsausschusses jedoch auch auf Risiken einer verstärkten Digitalisierung des Arbeitsmarktes hin. Nach Ansicht der Verfasser der Empfehlung bestehen diese vor allem in einer Schwächung der betrieblichen Mitbestimmung und in einem Missbrauch von Beschäftigtendaten, der verhindert werden müsse.

Nach der Empfehlung des Wirtschaftsausschusses soll der Bundesrat die Bundesregierung in diesem Zusammenhang darum bitten,

sich darüber hinaus im Europäischen Rat für die Berücksichtigung der Belange im Rahmen der Beratung und Beschlussfassung hinsichtlich einer Datenschutz-Grundverordnung und der Gestaltung des Digitalen Binnenmarktes einzusetzen.