Internet-Law

Onlinerecht und Bürgerrechte 2.0

11.3.15

Kampfzone Datenschutz

Kaum eine andere rechtspolitische Debatte ist derart ideologisch aufgeladen wie die um die geplante Datenschutzgrundverordnung der EU. Mitverantwortlich hierfür sind auch auch Blogbeiträge wie “Datenschlussverkauf in Brüssel” von Richard Gutjahr. Gutjahr beruft sich für seine aktuelle Grundthese, nach der der Rat der EU gerade versucht, das Datenschutzniveau zu senken, auf Auswertungen von Lobbyplag. Warum man die Bewertungen und Schlussfolgerungen von Lobbyplag kritisch betrachten muss, habe ich bereits vor zwei Jahren erläutert.

Auch Gutjahr käut in seinem Blog anschließend die sachlich falsche These von der “Aufhebung der Zweckbindung” wieder, die in der Aussage gipfelt:

So soll auf Wunsch Deutschlands etwa die Zweckbindung der Datenerhebung entfallen.

Gerade mit diesem Thema habe ich mich in einem aktuellen Blogbeitrag beschäftigt. Gutjahr erweckt wie andere auch den Eindruck, es gäbe einen strikten Grundsatz der Zweckbindung, der nach dem Wunsch des Rates nunmehr entfallen oder stark verwässert werden soll. Richtig ist, dass bereits das geltende Recht (BDSG, Datenschutzrichtlinie) zahlreiche Ausnahmen vom Zweckbindungsgrundsatz vorsieht und die aktuellen Vorschläge des Rates sich in etwa auf dem Niveau des Bundesdatenschutzgesetzes bewegen. Im Vergleich zum geltenden Recht wird da also nichts aufgehoben, sondern nur der status quo zementiert. Das mag all jene enttäuschen, die auf eine noch strengere Zweckbindung gesetzt haben.

Wenn der Rat nunmehr fordert, bei der Datenverarbeitung könne eine Zweckänderung wegen überwiegender Interessen eines Dritten erfolgen, stellt sich die Frage, ob diese Forderung nicht ohnehin eine Selbstverständlichkeit darstellt, die aus grundrechtlicher Sicht möglicherweise sogar geboten ist.

Auch das Recht auf Datenschutz und das allgemeine Persönlichkeitsrecht stehen in einem Spannungsverhältnis zu den Grundrechten anderer, das im Einzelfall aufgelöste werden muss. Totalverbote sind zur Lösung von Grundrechtskollisionen nicht geeignet. Vielmehr wägt das Recht ganz regelmäßig unterschiedliche Rechte und Rechtspositonen gegeneinander ab. Man kann die jetzt vorgeschlagene Regelung zur Zweckbindung daher auch für sinnvoll und angemessen halten.

posted by Stadler at 17:22  

5.3.15

Erneut alarmistische Berichterstattung zur EU-Datenschutzreform

In den letzten Tagen war allerorts zu lesen, dass die europäischen Regierungen, allen voran die Bundesregierung, den Datenschutz aufweichen möchten. Heise schreibt beispielsweise, dass Europas Regierungen die Datenschutzreform aushöhlen wollen. Im Tagesspiegel kann man lesen, dass einige Regierungen, darunter die Bundesregierung, versuchen würden, zentrale Grundsätze des Datenschutzes aufzuweichen.

Konkret geht es um Änderungsvorschläge des Rats der Europäischen Union an der Entwurfsfassung einer Datenschutzgrundverordnung. Stein des Anstoßes ist vor allen Dingen die neu aufgenommene Formulierung in Art. 6 Nr. 4 der Entwurfsfassung, die nunmehr lauten soll:

Where the purpose of further processing is incompatible with the one for which the personal data have been collected, the further processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1. Further processing for incompatible purposes on grounds of legitimate interests of the controller or a third party shall be lawful if these interests override the interests of the data subject.

Der Grundsatz der Zweckbindung, der besagt, dass Daten nur zu dem Zweck weiterverabeitet werden dürfen zu dem sie erhoben worden sind, soll danach einer Abwägung dahingehend unterliegen, dass aufgrund überwiegender Interessen eines Dritten davon abgewichen werden kann.

Wenn man sich die Regelungen des geltenden deutschen Datenschutzrechts ansieht, das angeblich ja das strengste Datenschutzrecht überhaupt ist, stellt man schnell fest, dass es dort ebenfalls keinen ganz strikten Zweckbindungsgrundsatz gibt. § 28 Abs. 2 Nr. 2 a) BDSG lässt es beispielsweise zu, vom Grundsatz der Zweckbindung zur Wahrung berechtigter Interessen eines Dritten abzuweichen. Das ist in etwa auch das, was der Rat nunmehr für die Grundverordnung fordert.

Natürlich ist es legitim, mit Blick auf die geplante europäische Datenschutzgrundverordnung auch eine (deutliche) Verschärfung der bisherigen Datenschutzstandards zu fordern. Allerdings ist eine Berichterstattung, die suggeriert, es würden bestehende Standards und Regelungen aufgeweicht, einfach nicht seriös. Ein Festhalten am aktuellen deutschen Datenschutzniveau wird man nämlich schwerlich als Aushöhlung des Datenschutzes betrachten können. Ein bisschen weniger Schnappatmung täte manchmal auch der Berichterstattung gut.

Carlo Piltz weist in seinem Blog übrigens auf einen weniger beachteten Aspekt hin, der aber von enormer Bedeutung ist. Das Papier des Rates schlägt nämlich die Schaffung eines Konzernprivilegs für die Datenübermittlung innerhalb von Konzernen vor.

posted by Stadler at 16:58  

18.2.15

Beweisverwertungsverbot für Dashcam-Aufzeichnungen

Aufzeichnungen einer in einem Pkw installierten Dashcam können im Zivilprozess nicht als Beweismittel zum Hergang eines Unfalls verwertet werden. Das hat das Landgericht Heilbronn mit Urteil vom 17.2.2015 (Az.: I 3 S 19/14) entschieden. Das Gericht geht in seiner Urteilsbegründung davon aus, dass die Aufzeichnung von Personen mittels Dashcam eine Verletzung des allgemeinen Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung darstellt, die auch nicht durch das Interesse an der Erlangung eines Beweismittels gerechtfertigt ist. Das Gericht führt hierz u.a. aus:

Wollte man dies anders sehen und der bloßen Möglichkeit, dass eine Beweisführung erforderlich werden könnte, den Vorrang vor dem Recht auf informationelle Selbstbestimmung einräumen, würde dies bedeuten, dass innerhalb kürzester Zeit jeder Bürger Kameras ohne jeden Anlass nicht nur in seinem Pkw, sondern auch an seiner Kleidung befestigen würde, um damit zur Dokumentation und als Beweismittel zur Durchsetzung von möglichen Schadensersatzansprüchen jedermann permanent zu filmen und zu überwachen. Damit aber würde das Recht auf informationelle Selbstbestimmung praktisch aufgegeben (AG München, Beschluss vom 13.08.2014 – 345 C 5551/14, ZD-Aktuell 2014, 04297).

Das Landgericht weist außerdem darauf hin, dass die permanente, anlasslose Überwachung des Straßenverkehrs durch eine im Pkw installierte Dashcam auch gegen § 6b Abs. 1 Nr. 3 BDSG und § 22 S. 1 KunstUrhG verstößt:

Nach § 6b Abs. 1 Nr. 3 BDSG ist die Beobachtung öffentlich zugänglicher Räume mittels Videoüberwachung nur zulässig, soweit sie zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Diese Voraussetzungen liegen hier nicht vor. Zwar ist das Anliegen der Klägerin, eine Beweissicherung vorzunehmen, legitim. Wie dargelegt überwiegen jedoch die schutzwürdigen Interessen der Zweitbeklagten, da die dauerhafte Offenbarung privater Daten im vorliegenden Fall nicht freiwillig geschieht.

Nach § 22 S.1 KunstUrhG dürfen Bildnisse ferner nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden, soweit nach § 23 Abs. 1 Nr. 2 KunstUrhG die Abgebildeten nicht nur als Beiwerk einer bestimmten Örtlichkeit erscheinen. Die Befugnis nach § 23 Abs. 1 KunstUrhG erstreckt sich gemäß Abs. 2 jedoch nicht auf eine Verbreitung und Zurschaustellung, durch die ein berechtigtes Interesse des Abgebildeten verletzt wird. Wie dargelegt verletzt die gezielte Aufnahme der Betroffenen diese in ihrem allgemeinen Persönlichkeitsrecht.

posted by Stadler at 16:53  

30.1.15

Arbeitet Deutschland in der EU gegen den Datenschutz?

Die Bürgerrechtsorganisation digitalcourage hat in ihrem Blog einen Beitrag von Max Schrems veröffentlicht, einem wegen seiner Klage gegen Facebook bekannten österreichischen Datenschutzaktivisten. Schrems behauptet in seinem Beitrag, Deutschland würde in der EU gegen den Datenschutz arbeiten und führt zur Begründung acht Beispiele für datenschutzunfreundliche Änderungen des Entwurfs einer Datenschutzgrundverordnung an, die auf “die Beamten des deutschen Innenministeriums” zurückgehen sollen.

Jetzt könnte man Schrems schon ganz allgemein entgegenhalten, dass die EU das (vermeintlich) hohe Datenschutzniveau der geplanten Grundverordnung primär aus Deutschland importiert hat und unterschiedliche politische Akteure deutscher Herkunft auch für zahlreiche datenschutzfreundliche Klauseln im Entwurf verantwortlich sind. Eine kurze Überprüfung der acht von Schrems genannten Punkte ergibt außerdem, dass diese keineswegs alle aus dem BMI kommen. Dennoch möchte ich auch einen inhaltlichen Blick auf einige der aufgeworfenen Aspekte richten.

Schrems behauptet u.a. folgendes:

Die bisher vorgesehene explizite“ Zustimmung („Opt-In“) wurde durch eine Definition ersetzt, bei der auch eventuell sogar nur durch die „Nutzung einer Webseite“ oder durch eine, vielleicht sogar nur versteckt angebrachte, Klausel eine Nutzerin oder Nutzer „zustimmen“ kann.

Als schwächende Veränderung wurde von Schrems dabei gewertet, dass bei der datenschutzrechtlichen Einwilligung der Begriff “explicit” durch “unambiguous” consent ersetzt worden ist (Art. 6 Nr. 1a). Nur bei bestimmten Daten wird noch “explicit consent” verlangt (Art. 9). Diesen Änderungsvorschlag, der seit 2013 existiert und m.W. nicht vom BMI stammt, kann man allerdings auch als sinnvolle Klarstellung bewerten. Denn der vorhergehende Entwurfstext war in diesem Punkt widersprüchlich. Er sprach einerseits davon, dass die Einwilligung ausdrücklich (explicitly) erteilt werden soll, um dann auszuführen, dass auch eine eindeutige Handlung (clear affirmative action)  – also konkludentes Verhalten – ausreichend sein soll. Es war jedenfalls notwendig, diesen Widerspruch aufzulösen, um spätere gegensätzliche Auslegungen zu vermeiden. Eine Erklärung durch konkludentes Verhalten ermöglicht aber auch keine Einwilligung durch versteckt angebrachte Klauseln wie Schrems behauptet. Das belegt auch die Notwendigkeit einer  “clear affirmative action” in Erwägungsgrund 25. In diesem Kontext hätte man wohl auch noch erwähnen müssen, dass die deutsche Delegation im Rat der EU kürzlich Vorschläge zur Ergänzung der Anforderungen an die Einwilligung gemacht hat, die schwerlich als Schwächung der datenschutzrechtlichen Einwilligung angesehen werden können.

Dass der Grundsatz der Datenminimierung (Datensparsamkeit) gestrichen wurde, ist insofern richtig, als nunmehr in Art. 5 c nur noch davon die Rede ist, dass die Speicherung nicht exzessiv sein darf, während es vorher hieß, dass sie auf ein Mindestmaß zu beschränken ist. Ob damit allerdings eine substantielle Veränderung verbunden ist, darf man bezweifeln. Die Datensparsamkeit wird außerdem nunmehr – übrigens auf Vorschlag Deutschlands – zusätzlich in Art. 23 Nr. 1 erwähnt.

Die Behauptung, der Grundsatz der Zweckbindung sei mit einer großen Ausnahme versehen worden, wird von Schrems nicht näher erläutert und erscheint mir auch nicht nachvollziehbar.

Schrems weist außerdem darauf hin, dass die bisher vorgeschriebenen Datenschutzbeauftragten freiwillig werden sollen. Gemeint sind damit die betrieblichen Datenschutzbeauftragten nach Art. 35 der Grundverordnung. Der bisherige Entwurf sah vor, dass Unternehmen, die 250 oder mehr Mitarbeiter beschäftigen, einen betrieblichen Datenschutzbeauftragten benötigen. Diese Regelung wurde in der aktuellen Entwurfsfassung wieder gestrichen, mit der Folge, dass es den Mitgliedsstaaten obliegt, diese Frage national zu regeln. Das würde für Deutschland bedeuten, dass die ohnehin deutlich strengere Regelung des BDSG beibehalten werden kann. Danach ist ein betrieblicher Datenschutzbeautragter zu bestellen, wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dieser Änderungsvorschlag in der Grundverordnung geht übrigens nicht auf eine Initiative des BMI zurück. Aus den Fußnoten wird vielmehr deutlich, dass Deutschland eine einheitliche Regelung im Rahmen der Verordnung bevorzugt hätte.

Es gibt übrigens durchaus Anhaltspunkte dafür, dass das BMI punktuell auf eine wirtschaftsfreundliche Abschwächung des Datenschutzes hinarbeitet. Der Text von Schrems ist allerdings schlicht verzerrend. Dass Bürgerrechtsorganisationen wie digitalcourage beim Thema Datenschutz ebenfalls Lobbyismus betreiben, ist klar und letztlich auch wünschenswert. Man sollte sich hierbei aber zumindest halbwegs an die Fakten halten und nicht auf Desinformation setzen. Die Verfälschung ist kein legitimes Mittel des politischen Meinungskampfs, auch wenn sie allzu gerne betrieben wird.

posted by Stadler at 10:54  

20.1.15

BGH: Klinik muss Privatanschrift des behandelnden Arztes nicht herausgeben

Der BGH hat heute entschieden (Urteil vom 20. Januar 2015, Az.: VI ZR 137/14), dass ein Arbeitgeber grundsätzlich nicht berechtigt ist, die Privatanschrift und sonstige private Kommunikationsdaten eines Mitarbeiters an einen Dritten herauszugeben. In der Pressemitteilung heißt es dazu:

Der Auskunftserteilung steht außerdem die datenschutzrechtliche Vorschrift des § 32 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) entgegen. Die Regelung gestattet dem Arbeitgeber die Erhebung, Verarbeitung und Nutzung von Daten für Zwecke des Beschäftigungsverhältnisses. Der Arbeitgeber ist aber grundsätzlich nicht berechtigt, personenbezogene Daten, die für Zwecke des Beschäftigungsverhältnisses erhoben worden sind, an Dritte weiterzuleiten. Da die Daten für die Zwecke des Beschäftigungsverhältnisses erhoben worden sind, ist die Übermittlung an Dritte nach dem für den Datenschutz geltenden Zweckbindungsgebot grundsätzlich als zweckfremde Verwendung ausgeschlossen. Eine Weiterleitung privater Kommunikationsdaten an Dritte bedarf vielmehr der Einwilligung des Betroffenen oder der besonderen Gestattung durch eine Rechtsvorschrift.

Hintergrund war die Forderung eines Patienten gegenüber dem Träger einer Klinik die Privatanschrift eines Arztes zum Zwecke der Führung eines Arzthaftungsprozesses herauszugeben.  Insoweit, so der BGH, sei der Klinikträger auch grundsätzlich gehalten, dem Patienten den Namen des ihn behandelnden Arztes mitzuteilen. Weil die Klage aber unter der Klinikanschrift zugestellt werden konnte, war eine Preisgabe der Privatanschrift nicht erforderlich und konnte nicht verlangt werden.

posted by Stadler at 16:17  

17.12.14

Wann ist eine private Videoüberwachung zulässig?

Die Entscheidung des EuGH zur privaten Videoüberwachung (Urteil vom 11.12.2014, Az.:C?212/13) ist in den Medien zum Teil gänzlich falsch dargestellt worden. Der EuGH hat die private Videoüberwachung keineswegs verboten. Bemerkenswert an der Entscheidung des EuGH ist lediglich, dass eine private Videoüberwachung vom EuGH nicht als ausschließlich persönliche oder familiäre Tätigkeit bewertet wird, sobald sie sich auch nur teilweise auf den öffentlichen Raum erstreckt. Für eine solche Videoüberwachungen gilt das Datenschutzrecht, was noch nichts darüber besagt unter welchen Voraussetzungen eine solche Maßnahme im Einzelfall dennoch zulässig sein kann. Aus deutscher Sicht spiegelt die Entscheidung des EuGH im Ergebnis nur das wider, was § 6b BDSG im Grundsatz ohnehin bereits normiert.

Was die Zulässigkeit einer solchen Videoüberwachung angeht, bleibt der EuGH mangels Relevanz für die Vorlagefrage zwar vage, merkt allerdings an, dass eine private Videoüberwachung zulässig sein kann, zum Schutz des Eigentums, der Gesundheit und des Lebens des für die Verarbeitung Verantwortlichen und seiner Familie.

Auch das entspricht im Grundsatz der deutschen Rechtssprechung zu dieser Frage, die bislang eine Einzelfallabwägung zwischen dem allgemeinen Persönlichkeitsrecht desjenigen, der gefilmt wird und den berechtigten Interessen des Überwachenden vornimmt. Hierbei sind die Hürden für die Zulässigkeit einer Videoüberwachung allerdings bislang eher hoch. Nach ständiger Rechtsprechung des BGH ist bei der Installation von Anlagen der Videoüberwachung auf einem Grundstück grundsätzlich sicherzustellen, dass weder der angrenzende öffentliche Bereich, noch benachbarte Privatgrundstücke oder der gemeinsame Zugang zu diesen von der Kamera erfasst werden (BGH, Urteil vom 16.03.2010, Az. VI ZR 176/09; BGH, NJW 1995, 1955; AG Nürtingen, NJW-RR 2009, 377 f). Der BGH betont, dass derartige Maßnahmen das allgemeine Persönlichkeitsrechts erheblich beeinträchtigen. Ein derartiger Eingriff in das allgemeine Persönlichkeitsrecht kann allerdings dann zulässig sein, wenn schwerwiegende Beeinträchtigungen der Rechte des Überwachenden, beispielsweise Angriffe auf seine Person oder seine unmittelbar Wohnsphäre nicht in anderer Weise abgewehrt werden könnten (BGH, NJW 1995, 1955, 1957). Das bedeutet jedenfalls, dass nicht jedes nachvollziehbare Interesse genügt, sondern eine schwerwiegende Beeinträchtigung dargelegt werden muss. Andernfalls ist die private Videoüberwachung, die den öffentlichen Raum miterfasst, unzulässig.

Zusammenfassend lässt sich also sagen, dass eine Videoüberwachung, die nur die eigenen Flächen und Räume des Überwachenden betrifft, ohne weiteres zulässig ist. Sobald allerdings der öffentliche Raum oder private Flächen eines Dritten, insbesondere eines Nachbarn betroffen sind, muss der Überwachende eine erhebliche Beeinträchtigung seiner eigenen Rechtsposition geltend machen können.

Die Entscheidung des EuGH ist übrigens auch einschlägig, wenn Webcams öffentliche Plätze oder Flächen erfassen und Personen erkennbar sind. Der Betrieb derartiger Webcams ist datenschuztzwidrig.

posted by Stadler at 09:29  

27.11.14

Datenschutz à la Facebook

Facebook beglückt alle Nutzer gerade mit folgendem Benachrichtigungstext:

Durch Nutzung unserer Dienste nach dem 1. Januar 2015 stimmst du unseren aktualisierten Bedingungen sowie unserer aktualisierten Datenrichtlinie und Cookies-Richtlinie zu und erklärst dich außerdem damit einverstanden, dass du verbesserte Werbeanzeigen siehst, die auf den von dir genutzten Apps und Webseiten basieren. Nachfolgend erfährst du mehr über diese Aktualisierungen und darüber, wie du steuern kannst, welche Werbeanzeigen du siehst.

Was soll man dazu sagen? Vielleicht folgendes: Durch Nutzung des Dienstes erteile ich zu nichts eine Zustimmung.

Und ich erkläre mich mit personalisierter Werbung einverstanden? Nein, Mr. Zuckerberg, das tue ich nicht. Ich widerspreche hiermit ausdrücklich der Erstellung von Nutzungsprofilen. Wenn eure Datenverarbeitung ohne meine Einwilligung rechtswidrig ist, dann bleibt sie das auch weiterhin.

Nachdem sich Facebook aber eh wenig um deutsches bzw. europäisches Datenschutzrecht schert, frage ich mich, wozu es so tut als würde es meine Zustimmung einholen? Um anschließend so tun zu können als ob Facebook das Datenschutzrecht beachten würde?

Man fragt sich an dieser Stelle unweigerlich, ob derartige Placebomaßnahmen eigentlich mehr über Facebook oder mehr über den Zustand des europäischen Datenschutzrechts aussagen.

posted by Stadler at 14:21  

7.11.14

Bewertungsportale verstoßen nicht gegen den Datenschutz

Die Entscheidung des BGH nach der es ein Arzt grundsätzlich dulden muss, dass seine Leistung im Internet – auf jameda.de – bewertet wird, ist nunmehr im Volltext online (Urteil vom 23.09.2014, Az.: VI ZR 358/13). Auf die Entscheidung wurde hier bereits hingewiesen.

Der BGH prüft die zugrundeliegende Frage ausschließlich anhand der Vorschriften des Bundesdatenschutzgesetzes (BDSG) und weist zunächst darauf hin, dass das sog. Medienprivileg (§ 57 Abs. 1 Satz 1 Rundfunkstaatsvertrag, § 41 Abs. 1 BDSG) für Bewertungsportale nicht gilt, solange keine journalistisch-redaktionelle Bearbeitung stattfindet. Das wirft – de lege ferenda – weiterhin die Frage auf, ob es nicht notwendig ist, in das Datenschutzrecht ein wesentlich weitergehendes Privileg für Äußerungen im Allgemeinen zu implementieren.

Der BGH prüft die Zulässigkeit der Veröffentlichung der personenbezogenen Ärztebewertung im Internet sodann anhand der Gestattungsvorschrift des § 29 Abs. 1 Nr. 1 BDSG. Im Rahmen dieser Vorschrift führt der BGH eine Abwägung zwischen den Rechten des klagenden Arztes und den Interessen der Nutzer an der Bewertung durch. In grundrechtlicher Hinsicht bedeutet dies eine Abwägung zwischen dem Schutz des Rechts auf informationelle Selbstbestimmung auf der einen und dem Recht auf Kommunikationsfreiheit auf der anderen Seite, wobei laut BGH auch die mittelbare Drittwirkung des beiden Parteien zustehenden Grundrechts der Berufsfreiheit zu berücksichtigen ist. Der BGH erwähnt in diesem Zusammenhang ausdrücklich die einschlägigen Grundrechte nach dem GG und der EMRK.

Der BGH betont dann u.a., dass die Bewertung nur die berufliche Tätigkeit des Arztes betrifft und sich der Einzelne im Bereich der Sozialsphäre wegen der Wirkungen, die seine Tätigkeit hier für andere hat, von vornherein auf die Beobachtung seines Verhaltens durch eine breitere Öffentlichkeit und auf Kritik an seinen Leistungen einstellen müsse. Äußerungen im Rahmen der Sozialsphäre dürfen laut BGH allerdings nur im Falle schwerwiegender Auswirkungen auf das Persönlichkeitsrecht mit negativen Sanktionen verknüpft werden, so etwa dann, wenn eine Stigmatisierung, soziale Ausgrenzung oder Prangerwirkung droht.

Der BGH äußerst sich dann auch zu dem Aspekt, dass die Bewertung anonym vorgenommen werden kann und führt hierzu aus:

Dass Bewertungen im von der Beklagten betriebenen Portal – abgesehen von der Angabe einer E-Mail-Adresse – anonym abgegeben werden können, führt nicht dazu, dass das Interesse des Klägers an der Löschung der Daten dasjenige der Beklagten an der Speicherung überwöge. Wie oben dargestellt, sind die bewerteten Ärzte und damit auch der Kläger hierdurch nicht schutzlos gestellt. Die anonyme Nutzung ist dem Internet zudem immanent. Dementsprechende Regelungen zum Schutz der Nutzerdaten gegenüber dem Diensteanbieter finden sich in den §§ 12 ff. TMG (vgl. insbesondere § 13 Abs. 6 Satz 1 TMG und Senatsurteil vom 1. Juli 2014 – VI ZR 345/13, NJW 2014, 2651 Rn. 8 ff.). Eine Beschränkung der Meinungsäußerungsfreiheit auf Äußerungen, die einem bestimmten Individuum zugeordnet werden können, ist mit Art. 5 Abs. 1 Satz 1 GG nicht vereinbar (Senatsurteil vom 23. Juni 2009 – VI ZR 196/08, BGHZ 181, 328 Rn. 38). Die Möglichkeit, Bewertungen auch anonym abgeben zu können, erlangt im Falle eines Ärztebewertungsportals im Übrigen ganz besonderes Gewicht. Denn häufig wird die Bewertung eines Arztes mit der Mitteilung sensibler Gesundheitsinformationen, etwa über den Grund der Behandlung oder die Art der Therapie, verbunden sein. Wäre die Abgabe einer Bewertung nur unter Offenlegung der Identität möglich, bestünde deshalb hier ganz besonders die Gefahr, dass eigentlich bewertungswillige Patienten im Hinblick darauf von der Abgabe einer Bewertung absehen.

Der BGH führt also in Kenntnis des Google-Urteils des EuGH, das in den Urteilsgründen sogar ausdrücklich Erwähnung findet, im Rahmen des § 29 BDSG eine klassische und ergebnisoffene Grundrechtsabwägung durch.

posted by Stadler at 09:29  

30.10.14

PKW-Maut jetzt doch mit elektronischer Kennzeichenerfassung

Die PKW-Maut soll jetzt entgegen der bisherigen Ankündigungen doch über ein System der elektronischen Kennzeichenerfassung wie bei der LKW-Maut erhoben werden. Vermutlich hat sich Verkehrsminister Dobrindt mit dieser Ankündigung nur deshalb so lange Zeit gelassen, weil er wusste, dass in diesem Punkt mit Widerstand von Datenschützern und Bürgerrechtlern zu rechnen ist.

Es wird auch nicht lange dauern, bis die üblichen Verdächtigen – Polizeigewerkschaften und innenpolitische Hardliner – fordern werden, die Daten, die ja dann schließlich schon da sind, auch zu polizeilichen Zwecken und zur Strafverfolgung zu verwenden.

Die Maut wird also möglicherweise kaum Einnahmen bringen, aber dafür wird ein weiteres elektronisches Überwachungsinstrumentarium eingeführt, das massenhaft Standortdaten von Fahrzeugen generiert.

posted by Stadler at 15:26  

28.10.14

EuGH soll klären, ob IP-Adressen personenbezogene Daten sind

Seit vielen Jahren streiten Juristen über die Frage, ob IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts sind. Die Antwort auf diese Frage hat weitreichende Folgen beispielsweise für die Zulässigkeit von Tracking-Tools, die systematisch IP-Adressen aufzeichnen und auswerten. Den Streitstand habe ich hier im Blog mehrfach erläutert, u.a. hier, hier und hier.

Der BGH hat die Streitfrage heute (Beschluss vom 28.10.2014, Az.: VI ZR 135/13) dem Europäischen Gerichtshof (EuGH) vorgelegt und möchte von diesem wissen, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter – also der Zugangsprovider – über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

Für den Fall, dass der EuGH davon ausgeht, dass IP-Adressen (stets) Personenbezug aufweisen, möchte der BGH vom EuGH ferner die Frage geklärt haben, ob

die EG-Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG entgegen steht, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann.

Bei dieser Frage geht es vor allem darum, ob die Datenschutzrichtlinie eine kurzzeitige Speicherung von IP-Adressen aus technischen Gründen (Systemsicherheit o.ä.) gestattet – was der Praxis großer deutscher Provider entspricht – oder ob eine Speicherung nur dann erlaubt ist, wenn dies zu Abrechungszwecken erforderlich ist, was dann freilich bedeuten würde, dass bei Flatrate-Tarifen keine Speicherung erfolgen darf.

Die zugrundeliegende Klage stammt übrigens von dem Piratenpolitiker Patrick Breyer.

(Quelle: Pressemitteilung des BGH)

posted by Stadler at 11:32  
Nächste Seite »