Internet-Law

Onlinerecht und Bürgerrechte 2.0

19.5.15

Weichert begrüßt Gesetzesentwurf zur Vorratsdatenspeicherung

Während er gegenüber Facebook & Co. gerne den Datenschutztaliban gibt, zeigt sich Thilo Weichert, Datenschutzbeauftragter des Landes Schleswig-Holstein, gegenüber den Plänen zur Wiedereinführung einer staatlichen Vorratsdatenspeicherung äußerst milde. Sein Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) begrüßt den Gesetzesentwurf des BMJ grundsätzlich, trotz Kritik in einigen Detailfragen.

Seine Haltung begründet Weichert mit dem folgendem, bemerkenswerten Argument:

Während heute TK-Provider teilweise Verkehrsdaten sofort oder – aus Gründen der IT-Sicherheit – nach einer kurzen Frist von 7 Tagen löschen, gibt es Anbieter, die Verkehrsdaten monatelang oder gar unbefristet aufbewahren, und Sicherheitsbehörden, die hierauf für ihre Zwecke zugreifen. Nur mit einer gesetzlichen Regelung kann Rechtssicherheit für alle Beteiligten – Behörden, Provider und Betroffene – erreicht und so der Weg zu einem effektiven Rechtsschutz eröffnet werden.

Das deutet für mich allerdings daraufhin, dass man beim ULD das Grundkonzept des aktuellen Gesetzesentwurfs noch nicht durchdrungen hat. Denn die nunmehr einzuführende Vorratsdatenspeicherung in §§ 113a ff. TKG (n.F.) ändert an der Möglichkeit der Provider, Verkehrsdaten zu eigenen Zwecken, insbesondere zu Abrechnungszwecken oder aus Gründen der IT-Sicherheit zu speichern, nicht das Geringste. Beide Regelungsmaterien sind im Gesetz strikt getrennt, das Gesetz ordnet im Ergebnis auch die Schaffung zweier vollständig getrennter Datenpools an.

Die uneinheitliche Speicherpraxis der Provider zu eigenen Zwecken wird durch die Neuregelung also nicht angetastet. Die gesetzlichen Regelungen, die dies derzeit ermöglichen, insbesondere §§ 96, 97, 100 TKG bleiben unverändert. Die Provider müssen vielmehr, neben der anlassbezogenen Speicherung von Daten für eigene Geschäftszwecke, jetzt anlasslos und zusätzlich für den Staat Verkehrsdaten auf Vorrat speichern. Aus datenschutzrechtlicher Sicht wird die Neuregelung den Providern also auferlegen, in erheblichem Maße zusätzlich personenbezogene Daten zu speichern und hierfür einen neuen, getrennten Datenpool zu schaffen.

Die anderslautenden Ausführungen des ULD in der Pressemitteilung vom 19.05.2015 sind sachlich unzutreffend.

posted by Stadler at 17:23  

4.5.15

BAG zur Einwilligung in Bildnisveröffentlichungen und zum Arbeitnehmerdatenschutz

Ein neues Urteil des Bundesarbeitsgerichts (BAG) wird, vermutlich nicht nur in Juristenkreisen, für Gesprächsstoff sorgen (Urteil vom 11.12.2014, Az.: 8 AZR 1010/13).

Nach Ansicht des BAG muss die Einwilligung in eine Veröffentlichung eines Fotos auf dem der Arbeitnehmer abgebildet ist, nach § 22 KUG schriftlich erfolgen. Das entspricht bislang jedenfalls nicht der Rechtsprechung der Zivilgerichte, die bislang immer eine formlose Einwilligung genügen ließen. Nachdem des BAG aber insoweit die Besonderheiten des Arbeitsverhältnisses betont, dürften die Auswirkungen auf das Arbeistrecht beschränkt bleiben. Das BAG führt in seinem Urteil dazu folgendes aus:

Wegen der Bedeutung des Rechts der Arbeitnehmer, auch im Arbeitsverhältnis ihr Grundrecht auf informationelle Selbstbestimmung ausüben zu dürfen, führt eine solche Abwägung im Ergebnis dazu, dass auch und gerade im Arbeitsverhältnis die Einwilligung der Arbeitnehmer der Schriftform bedarf. Nur dadurch kann verdeutlicht werden, dass die Einwilligung der Arbeitnehmer zur Veröffentlichung ihrer Bildnisse unabhängig von den jeweiligen Verpflichtungen aus dem eingegangenen Arbeitsverhältnis erfolgt und dass die Erteilung oder Verweigerung der Einwilligung für das Arbeitsverhältnis keine Folgen haben dürfen.

Das BAG geht dann weiter davon aus, dass diese Einwilligung nicht ohne weiteres frei widerruflich ist, auch dann nicht, wenn das Arbeitsverhältnis beendet ist. Zur Begründung führt das BAG folgendes aus:

Allerdings deutet ein Umkehrschluss aus § 28 Abs. 3a Satz 1 aE BDSG darauf hin, dass eine einmal erteilte Einwilligung nicht generell „jederzeit mit Wirkung für die Zukunft widerrufen werden kann“. Es ist wiederum im Rahmen der gegenseitigen Rücksichtnahme auf die Interessen der anderen Seite, § 241 Abs. 2 BGB, eine Abwägung im Einzelfall vorzunehmen. Auf der Seite des Arbeitgebers stehen das Veröffentlichungsinteresse wie das wirtschaftliche Interesse an einer wenigstens kostendeckenden Verwertung der entstandenen Produktionskosten zu Werbezwecken. Auf der Seite des eingewilligenden Arbeitnehmers steht sein Recht auf informationelle Selbstbestimmung, das bei oder anlässlich der Beendigung des Arbeitsverhältnisses neue Entscheidungskoordinaten bekommen haben kann, aber nicht muss.

In diesem Zusammenhang kann der Arbeitnehmer grundsätzlich anführen, dass mit seiner Person und mit der Abbildung seiner Erscheinung nach dem Ende des Arbeitsverhältnisses nicht weiter für das Unternehmen geworben werden soll. Dies gilt jedenfalls in dem Fall, in dem für die Verwendung zu Werbezwecken eine Vergütung nicht erfolgt war. Es muss aber mit der Person des ausgeschiedenen Arbeitnehmers oder mit seiner Funktion im Unternehmen geworben werden. Bei einer allgemeinen Darstellung des Unternehmens, auch wenn diese aus Werbezwecken erfolgt ist und ins Internet gestellt wird, bei der die Person und Persönlichkeit des Arbeitnehmers nicht hervorgehoben, sein Name nicht genannt und die Identität seiner Person auch sonst nicht herausgestellt wird und bei der zudem beim Betrachter nicht zwingend der Eindruck entsteht, es handele sich um die aktuelle Belegschaft, kann von einer wirtschaftlichen und persönlichkeitsrelevanten Weiter-„verwertung“ der Abbildung des Arbeitnehmers nicht ausgegangen werden. So wenig wie Arbeitnehmer, hier also der Kläger, aufgrund einer arbeitsvertraglichen Nebenpflicht gehalten sind, der Verwendung und Herstellung ihrer Abbildung während des Bestandes des Arbeitsverhältnisses zuzustimmen, so wenig können sie ihre einmal wirksam erteilte Einwilligung allein aus Anlass der Beendigung des Arbeitsverhältnisses widerrufen. Im Ergebnis der in solchen Fällen vorzunehmenden Gesamtabwägung ist vielmehr zu verlangen, dass der widerrufende Arbeitnehmer einen Grund im Sinne einer Erklärung angibt, warum er nunmehr, anders als bei der Jahre zurückliegenden Erteilung der Einwilligung, sein Recht auf informationelle Selbstbestimmung gegenläufig ausüben will.

Wichtig für die arbeistvertragliche Praxis und den Arbeitnehmerdatenschutz ist die Entscheidung aber auch insofern, als das BAG eine datenschutzrechtliche Einwilligung des Arbeitnehmers ausdrücklich für möglich hält. In der datenschutzrechtlichen Literatur wurde bislang z.T. die Auffassung vertreten, dass Arbeitnehmer aufgrund des bestehenden Abhängigkeitsverhältnisses nicht oder nur eingeschränkt in die Verarbeitung ihrer Daten einwilligungen können. Dem ist das BAG nicht gefolgt. Die Begründung des Gerichts lautet wie folgt:

Auch im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei. Löste die Verweigerung einer außerhalb von § 32 BDSG erforderlichen schriftlichen Einwilligung Benachteiligungen aus, so stellte dies einen groben Verstoß gegen die arbeitgeberseitigen Pflichten aus § 241 Abs. 2 und § 612a BGB dar, der zum Schadensersatz nach §§ 282, 280 Abs. 1 BGB verpflichtete. Eine Nebenpflicht des Arbeitnehmers aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten – soweit erforderlich – zuzustimmen, besteht nicht.

Wer als Arbeitgeber also Fotos seiner Mitarbeiter im Netz veröffentlicht, sollte sich hierfür tunlichst eine schriftliche und unbefristete Einwilligung vom Arbeitnehmer erteilen lassen. Dann können die Bilder – unter den oben genannten Voraussetzungen – auch dann online bleiben, wenn das Arbeitsverhältnis beendet worden ist.

posted by Stadler at 16:12  

4.5.15

Gilt für Twitter (künftig) tatsächlich irisches Datenschutzrecht?

Vor ca. zwei Wochen meldete Heise, dass Twitter irische Datenschutzstandards gewählt hätte, bei ZDNet heißt es, Twitter habe sich dem irischem Datenschutzgesetz unterstellt.

Was hat es damit auf sich und gilt für Twitter im Verhältnis zu deutschen Nutzern des Dienstes tatsächlich irisches Datenschutzrecht?

Twitter hat eine Aktualiserung seiner Datenschutzrichtlinie und seiner AGB mitgeteilt, verbunden mit dem Hinweis, dass man durch die Weiterbenutzung des Dienstes nach dem 18.05.2015 diese Änderungen akzeptieren würde. In der Mitteilung von Twitter heißt es:

Wenn Du außerhalb der USA lebst, werden Dir unsere Dienste nun von Twitter International Company, unserem Unternehmen mit Sitz in Dublin (Irland), bereitgestellt. Twitter International Company ist dafür verantwortlich, Deine Account-Informationen nach dem irischen Datenschutzgesetz zu verwalten, das auf der Europäischen Datenschutzrichtlinie basiert.

In der aktualisierten Datenschutzrichtlinie von Twitter heißt es dazu:

Wenn Sie außerhalb der Vereinigten Staaten leben, ist für Ihre Daten die Twitter International Company verantwortlich, ein irisches Unternehmen mit eingetragenem Geschäftssitz unter der Adresse The Academy, 42 Pearse Street, Dublin 2, Ireland.

Interessanterweise enthalten die AGB von Twitter eine Rechts- und Gerichtsstandswahl, wonach das recht des Staates Kalifornien gelten soll und als Gerichtsstand San Francisco vereinbart werden soll. Diese Rechts- und Gerichtsstandswahl ist außerhalb des kaumännischen Verkehrs gegenüber Verbrauchern unwirksam. Bei der Rechtswahl wird man davon auszugehen haben, dass eine solche im Datenschutzrecht bereits nach Art. 9 Abs. 1 Rom I-VO unzulässig ist. Sie dürfte gegenüber Verbrauchern jedenfalls an Art. 6 Abs. 2 S. 2 Rom I-VO scheitern. Die Gerichtsstandsvereinbarung verstößt gegen Art. 16, 17 EuGVVO.

Was nun die angebliche Geltung des irischen Datenschutzrechts anbelangt, ist die Entscheidung des EuGH zu den Löschpflichten von Google zu beachten. Der EuGH führt dort (Erwägungsgrund 18, 19) u.a. folgendes aus:

Um zu vermeiden, dass einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, müssen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.

Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich. Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muss er vor allem zu Vermeidung von Umgehungen sicherstellen, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.

Hieraus wird einerseits ebenfalls klar, dass eine Rechtswahl kaum in Betracht kommt und, dass die nationalen Datenschutzregelungen gelten, wenn eine Niederlassung in einem Mitgliedsstaat, egal in welcher Rechtsform, existiert. In Bezug auf Google hat es der EuGH ausreichen lassen, dass eine Zweigniederlassung vorhanden ist, die  für die Vermarktung von Werbung zuständig ist.

Twitter unterhält in Deutschland eine Zweigniederlassung, nämlich die Twitter Germany GmbH, die den Zweck hat, das Marketing und den Verkauf von Online Werbeprodukten der Twitter Inc. zu fördern und zu unterstützen. Man wird deshalb davon auszugehen haben, dass die Grundsätze der EuGH-Rechtsprechung auch Twitter anzuwenden sind.

Twitter unterhält damit eine relevante zweigniederlassung im Sinne der Datenschutzrichtlinie mit der Folge, dass Twitter (auch) deutsches Datenschutzrecht zu beachten hat. Sowohl die Twitter Inc. als auch die Twitter GmbH können daher vor deutschen Gerichten wegen Verletzung datenschutzrechtlicher Vorschriften des deutschen Datenschutzrechts in ANspruch genommen werden.

posted by Stadler at 14:01  

29.4.15

Die “Nebenabrede” der Bundesregierung zur Vorratsdatenspeicherung

Netzpolitik.org hat gestern eine zweite Fassung der unlängst von Justizminster Maas vorgestellten Leitlinien zur Wiedereinführung einer Vorratsdatenspeicherung veröffentlicht. Anders als in der offiziellen Version findet sich dort am Ende ein Passus mit folgendem Wortlaut:

Nebenabrede zur Bestandsdatenauskunft
Es wird geregelt, dass eine Auskunft über die Bestandsdaten auch anhand der nach § […] TKG-E gespeicherten Daten verlangt werden kann. Erfolgt eine Auskunft mit Hilfe dieser Daten, muss dies durch die TK-Anbieter mitgeteilt werden.

Auch wenn das sprachlich etwas unpräzise formuliert ist, möchte ich der Frage nachgehen, was es damit auf sich hat.

Die Bundesregierung hatte bereits 2011 in Bezug auf eine geplante Neuregelung der Vorratsdatenspeicherung folgendes erklärt:

Das BVerfG hat in seinem Urteil vom 2. März 2010 zwischen dem Abruf und der unmittelbaren Nutzung von Verkehrsdaten auf der einen und einer mittelbaren Nutzung der Daten zur Erteilung von Auskünften durch die Telekommunikationsdiensteanbieter über die Inhaber von IP-Adressen auf der anderen Seite unterschieden und festgestellt, dass insoweit unterschiedliche verfassungsrechtliche Maßgaben gelten. Die Bundesregierung teilt diese Auffassung (…)

Das Bundesverfassungsgericht hat in seiner Entscheidung zur Vorratsdatenspeicherung ausgeführt, dass in den Fällen, in denen den Ermittlungsbehörden die IP-Adresse schon aus einer anderen Quelle bekannt ist, keine hohen Eingriffshürden für eine Auskunft über die Person des Anschlussinhabers bestehen. Das Gericht bezeichnet das als mittelbare Nutzung von Verkehrsdaten. Es muss in diesen Fällen weder eine schwere Straftat vorliegen, noch ist eine richterliche Anordnung erforderlich. Notwendig ist nur ein hinreichender Tatverdacht oder im präventiven Bereich eine konkrete Gefahr. Auf diese Weise könnten verfassungskonform alle Arten von Straftaten, also auch Betrug, Urheberrechtsverletzungen etc., ermittelt werden.

Hieran möchte die Bundesregierung jetzt offenbar anknüpfen und eine Auskunft über Bestandsdaten – also Name und Anschrift des Providerkunden – zu einer bereits durch die Polizei ermittelten IP-Adresse auch ohne Richtervorbehalt ermöglichen. Die Frage ist allerdings, ob diese Prämisse des BVerfG im Lichte der Rechtsprechung des EuGH uneingeschränkt weiter gelten kann. Man kann die Entscheidung des EuGH durchaus dahingehend interpretieren, dass für alle Arten von TK-Daten dieselben strengen Anforderungen gelten. Damit wäre der Differenzierung des Verfassungsgerichts allerdings der Boden entzogen.

Die öffentliche Darstellung der Bundesregierung ist in jedem Fall aber unredlich, weshalb die Überschrift von netzpolitik.org “Lügen für die Vorratsdatenspeicherung” durchaus treffend ist. Denn Justizminister Maas erweckt den Eindruck, als würde der Abruf jeglicher Vorratsdaten unter einem Richtervorbehalt stehen. Das soll aber offenbar nicht der Fall sein. Man hätte also den Menschen ehrlicherweise sagen müssen, dass es einen Richtervorbehalt nur dort geben soll, wo ihn das Bundesverfassungsgericht zwingend verlangt hat.

posted by Stadler at 09:25  

27.4.15

Sind schlechte Bonitätsbewertungen gerichtlich überprüfbar?

Das OLG Frankfurt hat einer Ratingagentur mit Urteil vom 7.4.2015 (Az.: 24 U 82/14) untersagt, über ein Unternehmen eine schlechte Bonitätsbewertung zu erteilen.

Ein Unternehmen aus dem Rhein-Main-Gebiet wurde von einer Ratingagentur mit dem “Risikoindikator 4″, dem schlechtesten von vier Werten beurteilt. In der Bewertung wurde u.a. das Ausfallrisiko als hoch eingestuft.

Die Klägerin, die auf die schlechte Bewertung durch eine ihrer Kundinnen aufmerksam gemacht wurde, wandte sich daraufhin an die Beklagte und forderte Aufklärung. Die Beklagte stufte die Klägerin danach eine Stufe besser mit “3” und das Ausfallrisiko mit “überdurchschnittlich” ein.

Die Klägerin erhob hierauf Klage gegen die Beklagte mit dem Antrag, es zu unterlassen, gegenüber Dritten eine schlechte Risikoeinschätzung der Klägerin abzugeben und ihr Ausfallrisiko als hoch einzustufen.

Das Landgericht hatte die Klage noch abgewiesen, weil es die Bonitätsbewertung als bloßes Werturteil betrachtet hat. Das OLG Frankfurt hat diese Entscheidung jetzt aufgehoben und hat die Ratingagentur zur Unterlassung verurteilt.

In der Pressemitteilung des OLG Frankfurt heißt es hierzu:

Zur Begründung führt das OLG aus: Die von der Beklagten abgegebene äußerst negative Bewertung der Kreditwürdigkeit der Klägerin sei ohne jegliche sachliche Basis. Das Vorgehen der Beklagten bei der Abgabe ihrer verschiedenen Bewertungen sei von einer verantwortungslosen Oberflächlichkeit geprägt und verletze das Recht der Klägerin, keine rechtswidrigen Eingriffe in ihren Gewerbebetrieb erleiden zu müssen. Maßstab für das Ratingagenturen erlaubte Verhalten sei § 28 b Bundesdatenschutzgesetz. Nach dieser Vorschrift dürfe ein “Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten erhoben oder verwendet werden, wenn die zur Berechnung des Wahrscheinlichkeitswertes genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind”. Zwar seien die sog. “Scoreformeln” selbst sowie die Basisdaten nach dem Urteil des Bundesgerichtshofes vom 14.1.2014, VI ZR 156/13 als geschütztes Geschäftsgeheimnis der Ratingagentur anzusehen. Vorliegend erwecke die Beklagte bei ihren Kunden aus der Wirtschaft aber den Eindruck einer umfassenden Verwertung der verschiedensten Variablen über das bewertete Unternehmen. Genauer betrachtet stütze sie die schlechte Bewertung der Klägerin jedoch einzig und allein darauf, dass es sich bei der Klägerin nicht um eine Kapitalgesellschaft, sondern einen eingetragenen Einzelkaufmann handele. Das reiche nicht aus, da die Verwertung dieses Einzelfaktors dem Maßstab einer komplexen, auf statistischen und wissenschaftlichen Algorithmen beruhenden Bewertung nicht genüge.

In der Urteilsbegründung weist das Oberlandesgericht zudem darauf hin, dass die Tatsachengrundlage für das „Scoring“ durch die Beklagte in mehreren wesentlichen Punkten offensichtlich falsch sei. Das dürfte der maßgebliche Aspekt für die Entscheidung des OLG gewesen sein.

Das Gericht beanstandet u.a., dass in der Bewertung widersprüchliche Angaben zur Branchenzugehörigkeit gemacht werden und die Branchenzugehörigkeit gleichzeitig ein zentraler Aspekt für die negative Bewertung gewesen sei. Außerdem beanstandet das OLG die Annahme der Ratingagentur, wonach der Umstand, dass über das Zahlungsverhalten des Unternehmens keine Informationen vorlägen, dazu führen würde, das Unternehmen eher im hinteren Feld einzustufen. Hierzu meint das Oberlandegsericht zu recht, dass man ein Unternehmen, über das keine Informationen vorliegen, im statistischen Mittel einordnen müsse, oder, besser, offen sagen müsse, dass man gar keine Informationen hat.

Bonitätsbewertungen sind demnach dann angreifbar, wenn sie auf einer falschen oder nicht nachvollziehbaren Tatsachengrundlage beruhen.

posted by Stadler at 15:17  

11.3.15

Kampfzone Datenschutz

Kaum eine andere rechtspolitische Debatte ist derart ideologisch aufgeladen wie die um die geplante Datenschutzgrundverordnung der EU. Mitverantwortlich hierfür sind auch auch Blogbeiträge wie “Datenschlussverkauf in Brüssel” von Richard Gutjahr. Gutjahr beruft sich für seine aktuelle Grundthese, nach der der Rat der EU gerade versucht, das Datenschutzniveau zu senken, auf Auswertungen von Lobbyplag. Warum man die Bewertungen und Schlussfolgerungen von Lobbyplag kritisch betrachten muss, habe ich bereits vor zwei Jahren erläutert.

Auch Gutjahr käut in seinem Blog anschließend die sachlich falsche These von der “Aufhebung der Zweckbindung” wieder, die in der Aussage gipfelt:

So soll auf Wunsch Deutschlands etwa die Zweckbindung der Datenerhebung entfallen.

Gerade mit diesem Thema habe ich mich in einem aktuellen Blogbeitrag beschäftigt. Gutjahr erweckt wie andere auch den Eindruck, es gäbe einen strikten Grundsatz der Zweckbindung, der nach dem Wunsch des Rates nunmehr entfallen oder stark verwässert werden soll. Richtig ist, dass bereits das geltende Recht (BDSG, Datenschutzrichtlinie) zahlreiche Ausnahmen vom Zweckbindungsgrundsatz vorsieht und die aktuellen Vorschläge des Rates sich in etwa auf dem Niveau des Bundesdatenschutzgesetzes bewegen. Im Vergleich zum geltenden Recht wird da also nichts aufgehoben, sondern nur der status quo zementiert. Das mag all jene enttäuschen, die auf eine noch strengere Zweckbindung gesetzt haben.

Wenn der Rat nunmehr fordert, bei der Datenverarbeitung könne eine Zweckänderung wegen überwiegender Interessen eines Dritten erfolgen, stellt sich die Frage, ob diese Forderung nicht ohnehin eine Selbstverständlichkeit darstellt, die aus grundrechtlicher Sicht möglicherweise sogar geboten ist.

Auch das Recht auf Datenschutz und das allgemeine Persönlichkeitsrecht stehen in einem Spannungsverhältnis zu den Grundrechten anderer, das im Einzelfall aufgelöste werden muss. Totalverbote sind zur Lösung von Grundrechtskollisionen nicht geeignet. Vielmehr wägt das Recht ganz regelmäßig unterschiedliche Rechte und Rechtspositonen gegeneinander ab. Man kann die jetzt vorgeschlagene Regelung zur Zweckbindung daher auch für sinnvoll und angemessen halten.

posted by Stadler at 17:22  

5.3.15

Erneut alarmistische Berichterstattung zur EU-Datenschutzreform

In den letzten Tagen war allerorts zu lesen, dass die europäischen Regierungen, allen voran die Bundesregierung, den Datenschutz aufweichen möchten. Heise schreibt beispielsweise, dass Europas Regierungen die Datenschutzreform aushöhlen wollen. Im Tagesspiegel kann man lesen, dass einige Regierungen, darunter die Bundesregierung, versuchen würden, zentrale Grundsätze des Datenschutzes aufzuweichen.

Konkret geht es um Änderungsvorschläge des Rats der Europäischen Union an der Entwurfsfassung einer Datenschutzgrundverordnung. Stein des Anstoßes ist vor allen Dingen die neu aufgenommene Formulierung in Art. 6 Nr. 4 der Entwurfsfassung, die nunmehr lauten soll:

Where the purpose of further processing is incompatible with the one for which the personal data have been collected, the further processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1. Further processing for incompatible purposes on grounds of legitimate interests of the controller or a third party shall be lawful if these interests override the interests of the data subject.

Der Grundsatz der Zweckbindung, der besagt, dass Daten nur zu dem Zweck weiterverabeitet werden dürfen zu dem sie erhoben worden sind, soll danach einer Abwägung dahingehend unterliegen, dass aufgrund überwiegender Interessen eines Dritten davon abgewichen werden kann.

Wenn man sich die Regelungen des geltenden deutschen Datenschutzrechts ansieht, das angeblich ja das strengste Datenschutzrecht überhaupt ist, stellt man schnell fest, dass es dort ebenfalls keinen ganz strikten Zweckbindungsgrundsatz gibt. § 28 Abs. 2 Nr. 2 a) BDSG lässt es beispielsweise zu, vom Grundsatz der Zweckbindung zur Wahrung berechtigter Interessen eines Dritten abzuweichen. Das ist in etwa auch das, was der Rat nunmehr für die Grundverordnung fordert.

Natürlich ist es legitim, mit Blick auf die geplante europäische Datenschutzgrundverordnung auch eine (deutliche) Verschärfung der bisherigen Datenschutzstandards zu fordern. Allerdings ist eine Berichterstattung, die suggeriert, es würden bestehende Standards und Regelungen aufgeweicht, einfach nicht seriös. Ein Festhalten am aktuellen deutschen Datenschutzniveau wird man nämlich schwerlich als Aushöhlung des Datenschutzes betrachten können. Ein bisschen weniger Schnappatmung täte manchmal auch der Berichterstattung gut.

Carlo Piltz weist in seinem Blog übrigens auf einen weniger beachteten Aspekt hin, der aber von enormer Bedeutung ist. Das Papier des Rates schlägt nämlich die Schaffung eines Konzernprivilegs für die Datenübermittlung innerhalb von Konzernen vor.

posted by Stadler at 16:58  

18.2.15

Beweisverwertungsverbot für Dashcam-Aufzeichnungen

Aufzeichnungen einer in einem Pkw installierten Dashcam können im Zivilprozess nicht als Beweismittel zum Hergang eines Unfalls verwertet werden. Das hat das Landgericht Heilbronn mit Urteil vom 17.2.2015 (Az.: I 3 S 19/14) entschieden. Das Gericht geht in seiner Urteilsbegründung davon aus, dass die Aufzeichnung von Personen mittels Dashcam eine Verletzung des allgemeinen Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung darstellt, die auch nicht durch das Interesse an der Erlangung eines Beweismittels gerechtfertigt ist. Das Gericht führt hierz u.a. aus:

Wollte man dies anders sehen und der bloßen Möglichkeit, dass eine Beweisführung erforderlich werden könnte, den Vorrang vor dem Recht auf informationelle Selbstbestimmung einräumen, würde dies bedeuten, dass innerhalb kürzester Zeit jeder Bürger Kameras ohne jeden Anlass nicht nur in seinem Pkw, sondern auch an seiner Kleidung befestigen würde, um damit zur Dokumentation und als Beweismittel zur Durchsetzung von möglichen Schadensersatzansprüchen jedermann permanent zu filmen und zu überwachen. Damit aber würde das Recht auf informationelle Selbstbestimmung praktisch aufgegeben (AG München, Beschluss vom 13.08.2014 – 345 C 5551/14, ZD-Aktuell 2014, 04297).

Das Landgericht weist außerdem darauf hin, dass die permanente, anlasslose Überwachung des Straßenverkehrs durch eine im Pkw installierte Dashcam auch gegen § 6b Abs. 1 Nr. 3 BDSG und § 22 S. 1 KunstUrhG verstößt:

Nach § 6b Abs. 1 Nr. 3 BDSG ist die Beobachtung öffentlich zugänglicher Räume mittels Videoüberwachung nur zulässig, soweit sie zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Diese Voraussetzungen liegen hier nicht vor. Zwar ist das Anliegen der Klägerin, eine Beweissicherung vorzunehmen, legitim. Wie dargelegt überwiegen jedoch die schutzwürdigen Interessen der Zweitbeklagten, da die dauerhafte Offenbarung privater Daten im vorliegenden Fall nicht freiwillig geschieht.

Nach § 22 S.1 KunstUrhG dürfen Bildnisse ferner nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden, soweit nach § 23 Abs. 1 Nr. 2 KunstUrhG die Abgebildeten nicht nur als Beiwerk einer bestimmten Örtlichkeit erscheinen. Die Befugnis nach § 23 Abs. 1 KunstUrhG erstreckt sich gemäß Abs. 2 jedoch nicht auf eine Verbreitung und Zurschaustellung, durch die ein berechtigtes Interesse des Abgebildeten verletzt wird. Wie dargelegt verletzt die gezielte Aufnahme der Betroffenen diese in ihrem allgemeinen Persönlichkeitsrecht.

posted by Stadler at 16:53  

5.2.15

Löschbeirat: Google soll noch mehr löschen

Nach einem Bericht der SZ hat der von Google einberufene Löschbeirat dafür plädiert, dass Google infolge des EuGH-Urteils Suchergebnisse auf eine Beanstandung eines Betroffenen hin noch großzügiger löschen soll, als bislang schon praktiziert. Nach dem Urteil des EuGH hat es laut dem Bericht der SZ 205.000 Löschanfragen in der EU gegegeben, von denen Google 60% abgelehnt hat. Der Löschbeirat sprach sich offenbar aber dafür aus, dass die Bereinigung des Index auf die europäischen Versionen von Google beschränkt bleibt und nicht auf google.com erstreckt werden soll.

Nach meiner Einschätzung löscht Google bereits jetzt eher großzügig, wobei die Abwägung im Einzelfall wohl auch nicht immer gelingt. Die Löschpraxis erschwert also in jedem Fall den Zugang zu Informationen und beeinträchtigt damit die Informationsfreiheit aller Nutzer. Dies zumal sich die Löschaufforderungen sehr häufig gerade auch gegen eine kritische Berichterstattung richten.

Der Löschbeirat empfiehlt Google also im Zweifel zu löschen, während der Aspekt des Informationszugangs nicht nennenswert gewichtet wurde. Die Empfehlung des Löschbeirats vertieft damit die durch das Urteil des EuGH ausgelöste Schieflage zwischen Persönlichkeitsschutz einerseits und Meinungs- und Informationsfreiheit andererseits.

Was Google in die Abwägung allerdings ebenfalls einstellen müsste, sind die Belange des betroffenen Content-Anbieters, der gegenüber Google möglicherweise sogar über ein einklagbares Recht verfügt, auch bei einer Suche nach einem bestimmten Namen gefunden zu werden.

posted by Stadler at 09:12  

30.1.15

Arbeitet Deutschland in der EU gegen den Datenschutz?

Die Bürgerrechtsorganisation digitalcourage hat in ihrem Blog einen Beitrag von Max Schrems veröffentlicht, einem wegen seiner Klage gegen Facebook bekannten österreichischen Datenschutzaktivisten. Schrems behauptet in seinem Beitrag, Deutschland würde in der EU gegen den Datenschutz arbeiten und führt zur Begründung acht Beispiele für datenschutzunfreundliche Änderungen des Entwurfs einer Datenschutzgrundverordnung an, die auf “die Beamten des deutschen Innenministeriums” zurückgehen sollen.

Jetzt könnte man Schrems schon ganz allgemein entgegenhalten, dass die EU das (vermeintlich) hohe Datenschutzniveau der geplanten Grundverordnung primär aus Deutschland importiert hat und unterschiedliche politische Akteure deutscher Herkunft auch für zahlreiche datenschutzfreundliche Klauseln im Entwurf verantwortlich sind. Eine kurze Überprüfung der acht von Schrems genannten Punkte ergibt außerdem, dass diese keineswegs alle aus dem BMI kommen. Dennoch möchte ich auch einen inhaltlichen Blick auf einige der aufgeworfenen Aspekte richten.

Schrems behauptet u.a. folgendes:

Die bisher vorgesehene explizite“ Zustimmung („Opt-In“) wurde durch eine Definition ersetzt, bei der auch eventuell sogar nur durch die „Nutzung einer Webseite“ oder durch eine, vielleicht sogar nur versteckt angebrachte, Klausel eine Nutzerin oder Nutzer „zustimmen“ kann.

Als schwächende Veränderung wurde von Schrems dabei gewertet, dass bei der datenschutzrechtlichen Einwilligung der Begriff “explicit” durch “unambiguous” consent ersetzt worden ist (Art. 6 Nr. 1a). Nur bei bestimmten Daten wird noch “explicit consent” verlangt (Art. 9). Diesen Änderungsvorschlag, der seit 2013 existiert und m.W. nicht vom BMI stammt, kann man allerdings auch als sinnvolle Klarstellung bewerten. Denn der vorhergehende Entwurfstext war in diesem Punkt widersprüchlich. Er sprach einerseits davon, dass die Einwilligung ausdrücklich (explicitly) erteilt werden soll, um dann auszuführen, dass auch eine eindeutige Handlung (clear affirmative action)  – also konkludentes Verhalten – ausreichend sein soll. Es war jedenfalls notwendig, diesen Widerspruch aufzulösen, um spätere gegensätzliche Auslegungen zu vermeiden. Eine Erklärung durch konkludentes Verhalten ermöglicht aber auch keine Einwilligung durch versteckt angebrachte Klauseln wie Schrems behauptet. Das belegt auch die Notwendigkeit einer  “clear affirmative action” in Erwägungsgrund 25. In diesem Kontext hätte man wohl auch noch erwähnen müssen, dass die deutsche Delegation im Rat der EU kürzlich Vorschläge zur Ergänzung der Anforderungen an die Einwilligung gemacht hat, die schwerlich als Schwächung der datenschutzrechtlichen Einwilligung angesehen werden können.

Dass der Grundsatz der Datenminimierung (Datensparsamkeit) gestrichen wurde, ist insofern richtig, als nunmehr in Art. 5 c nur noch davon die Rede ist, dass die Speicherung nicht exzessiv sein darf, während es vorher hieß, dass sie auf ein Mindestmaß zu beschränken ist. Ob damit allerdings eine substantielle Veränderung verbunden ist, darf man bezweifeln. Die Datensparsamkeit wird außerdem nunmehr – übrigens auf Vorschlag Deutschlands – zusätzlich in Art. 23 Nr. 1 erwähnt.

Die Behauptung, der Grundsatz der Zweckbindung sei mit einer großen Ausnahme versehen worden, wird von Schrems nicht näher erläutert und erscheint mir auch nicht nachvollziehbar.

Schrems weist außerdem darauf hin, dass die bisher vorgeschriebenen Datenschutzbeauftragten freiwillig werden sollen. Gemeint sind damit die betrieblichen Datenschutzbeauftragten nach Art. 35 der Grundverordnung. Der bisherige Entwurf sah vor, dass Unternehmen, die 250 oder mehr Mitarbeiter beschäftigen, einen betrieblichen Datenschutzbeauftragten benötigen. Diese Regelung wurde in der aktuellen Entwurfsfassung wieder gestrichen, mit der Folge, dass es den Mitgliedsstaaten obliegt, diese Frage national zu regeln. Das würde für Deutschland bedeuten, dass die ohnehin deutlich strengere Regelung des BDSG beibehalten werden kann. Danach ist ein betrieblicher Datenschutzbeautragter zu bestellen, wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dieser Änderungsvorschlag in der Grundverordnung geht übrigens nicht auf eine Initiative des BMI zurück. Aus den Fußnoten wird vielmehr deutlich, dass Deutschland eine einheitliche Regelung im Rahmen der Verordnung bevorzugt hätte.

Es gibt übrigens durchaus Anhaltspunkte dafür, dass das BMI punktuell auf eine wirtschaftsfreundliche Abschwächung des Datenschutzes hinarbeitet. Der Text von Schrems ist allerdings schlicht verzerrend. Dass Bürgerrechtsorganisationen wie digitalcourage beim Thema Datenschutz ebenfalls Lobbyismus betreiben, ist klar und letztlich auch wünschenswert. Man sollte sich hierbei aber zumindest halbwegs an die Fakten halten und nicht auf Desinformation setzen. Die Verfälschung ist kein legitimes Mittel des politischen Meinungskampfs, auch wenn sie allzu gerne betrieben wird.

posted by Stadler at 10:54  
Nächste Seite »