Hintergrund

Die Datenschutz-Aufsichtsbehörde in Schleswig-Holstein hat am 19. August 2011 per Pressemitteilung veröffentlicht, dass nach ihrer Ansicht die Einbindung des Facebook Like Buttons datenschutzwidrig sei. In einer Passage des in diesem Zusammenhang durch die Aufsichtsbehörde erstellten Gutachtens wurde zudem ausgeführt, dass wohl auch eine Einwilligung keine ausreichende Grundlage bilden könne (S. 20 ff.).

Wer ist betroffen?

Die Entscheidung der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein hat zunächst Bedeutung für in Schleswig-Holstein ansässige Unternehmen und Webseitenbetreiber. Die Behörde gab an (vgl. das entsprechende Youtube-Interview), mit der Maßnahme nicht „den kleinen Webseitenbetreiber“ sondern Facebook im Visier zu haben. Die Entscheidung hat keine direkte Auswirkung auf Unternehmen in anderen Bundesländern. Allerdings hat sich mittlerweile auch die niedersächsische Aufsichtsbehörde der Rechtsauffassung der Kieler Kollegen angeschlossen, vgl. “Information für Webseitenbetreiber mit Sitz in Niedersachsen” und “Friesland schaltet Facebook-Seite ab“.

Reaktion

Sowohl die datenschutzrechtliche Einschätzung als auch die Art und Weise des Vorgehens stehen in Frage (vgl. zum Beispiel unseren Artikel (“Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen“) oder auch die Beiträge der Kollegen Schmidt (“Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht?“), Stadler (“Wie geht es weiter mit dem Datenschutz?“) und Härting (“Öffentlichkeitsarbeit einer Landesbehörde: Warum die „Facebook-Kampagne“ des ULD verfassungswidrig ist“) sowie die Pressemitteilung der Landesregierung Schleswig-Holstein (“Facebook und Datenschutz: Chef der Staatskanzlei Dr. Wulff spricht mit Landesbeauftragtem für Datenschutz – Bürgerbeteiligung weiter stärken“)).

Lösungsvorschlag

In Folge der Diskussion wurde das von Herrn Jens Ferner (schon seit einiger Zeit im Einsatz befindliche) Zusatz-Plugin von der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein für im Grundsatz zulässig erachtet: dieses Tool „aktiviert“ den Facebook Like-Button erst nach dem Klick auf eine entsprechende Einwilligung (weitere Details zu diesem Tool finden sich hier).

Was sollten Webseitenbetreiber beachten?

1. Die datenschutzrechtliche Zulässigkeit ist nach wie vor umstritten. Es gibt gute Argumente für beide Seiten. Höherinstanzliche Gerichtsurteile zu den in Frage stehenden Aspekten existieren bislang nicht. Beobachten Sie daher die weitere rechtliche Entwicklung (bspws. über unseren Newsletter).
2. Neben der Möglichkeit einer Auseinandersetzung mit der Datenschutz-Aufsichtsbehörde sollten Sie auch die wettbewerbsrechtliche Seite (sprich das (ebenfalls umstrittene) Abmahnrisiko) in Ihre Entscheidung über den Einsatz des Facebook Like Buttons mit einfließen lassen.
3. Gerade Webseiten-Betreiber in Schleswig-Holstein und Niedersachsen sollten eine Anpassung des Facebook-Like Buttons in Erwägung ziehen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Kommentar von Herrn Breuer im Volltext:

Der aktuelle Stand von ELENA

Wie bereits Ende Novem­ber 2010 mitge­teilt, hat der Koali­ti­ons­aus­schuss mit Leitung des Kanzler­am­tes zu ELENA zwei Beschlüsse gefasst:

1. Das Verfah­ren wird für zwei Jahre ausge­setzt; die Nutzung soll ab 01.01.2014 erfol­gen.
2. Die Feder­füh­rung zu ELENA geht an das Bundes­mi­nis­te­rium für Arbeit und Sozia­les.

Gründe:

• Es gibt zum 1.01.2012 noch keine hinrei­chende Verbrei­tung der erfor­der­li­chen Signa­tur­karte mit einer Signa­tur der Klasse III.
• Die vorge­tra­ge­nen Kosten­be­den­ken insbe­son­dere der kommu­na­len Spitzen­ver­bände.

Die Daten sollen aber weiter zentral gespei­chert werden. Die Arbeit­ge­ber sollen doppelt verfah­ren:

• Die monat­li­chen Daten­mel­dun­gen erledi­gen und
• Beschei­ni­gun­gen (z. B. nach SGB III) ausstel­len (vgl. hierzu auch die Webseiten lohn-info.de und compliancemagazin.de).

Ich kenne keine Beschei­ni­gung die eine Daten­his­to­rie von mehr als 3 Jahren benötigt. Wenn dem so ist, sind sämtli­che gespei­cher­ten Daten aus 2010 anlass­lose Vorrats­da­ten und damit grund­ge­setz­wid­rig. Ich habe deshalb erneut einen Brief an den ver.di– Bundes­vor­stand geschrie­ben, der hier im Inter­net nachles­bar ist (vgl. zu ELENA auch hier).

Der Arbeits­kreis ELENA hat am 14.12.10 wieder getagt. Dabei wurde folgen­der Melde­stand bekannt­ge­ge­ben:

„Zum Stand 13.12.2010 wurden 32.620.552 vorläu­fige Identi­fi­ka­ti­ons­num­mern (vID) verge­ben, die in 4.998.996 Sendun­gen verar­bei­tet wurden.“ (Proto­koll Seite 12, PDF).

Beson­ders inter­es­sant ist TOP 08 – Vollstän­dig­keits­kon­trolle – Zitat (Proto­koll Seite 27, PDF):

1. Die Mitglie­der des AK ELENA haben sich in ihrer letzten Sitzung am 13.10.2010 unter TOP 06 ausführ­lich mit dieser Thema­tik befasst und sich für die Notwen­dig­keit einer Vollstän­dig­keits­kon­trolle der Arbeit­ge­ber­mel­dun­gen im ELENA-Verfahren ausge­spro­chen.
2. Ein Abgleich der Daten aus dem ELENA-Verfahren (Betriebs­num­mer des Verur­sa­chers– BBNRVU, Versi­che­rungs­num­mer und Datum des Beginns der Beschäftigung)könnte sowohl mit der Prüfpla­nungs­da­tei und Basis­da­tei gem. § 28p Absatz 8 Satz 2SGB IV als auch mit der Betriebs­num­mern­da­tei der Bundes­agen­tur für Arbeit (§ 5Absatz DEÜV) erfol­gen.
3. Derzeit ist ein solcher Abgleich gesetz­lich nicht vorge­se­hen und nach einer inter­nen Prüfung durch das Referat Daten­schutz der DRV Bund auch daten­schutz­recht­lich nicht zuläs­sig. Auf Grund der beste­hen­den Zweck­be­stim­mun­gen und Zweck­bin­dun­gen der unter Ziffer 2 genann­ten Vorschrif­ten sei es nicht zuläs­sig, diese Dateien an die Zentrale Speicher­stelle (ZSS) als sog. Referenz­da­teien für einen Daten­ab­gleich zu übermit­teln. Dies gelte sowohl für die Prüfplanungsdatei/Basisdatei bei der DRV Bund als auch für Betriebs­num­mern­da­tei der Bundes­agen­tur für Arbeit. Dafür bedürfe es einer entspre­chen­den Ermäch­ti­gungs­grund­lage.

Beratungs­er­geb­nis:

„Die Mitglie­der des AK ELENA stimmen der recht­li­chen Bewer­tung unter 3. zu und bitten die ZSS, ein entspre­chen­des Schrei­ben an das zustän­dige Minis­te­rium zu richten. Darin soll um die Schaf­fung einer gesetz­li­chen Grund­lage für einen Daten­ab­gleich zwecks Vollstän­dig­keits­kon­trolle gebeten werden.“ (Proto­koll Seite 28, PDF).

Hier wird das Selbst­ver­ständ­nis dieses AK deutlich:

ELENA-Daten sollen auch noch mit anderen Daten abgegli­chen werden. Das ist zwar verbo­ten, aber dafür wird eine „Ermäch­ti­gungs­grund­lage“ per Gesetz gefor­dert.

So ist das mit dem Daten­schutz, der Demokra­tie und dem Gesetz!

Autor:
Ulrich Breuer

Herr Breuer verschickt einen monatlichen Newsletter zu ELENA und Kontextthemen – wenn Sie Interesse an diesem Newsletter haben senden Sie bitte eine E-Mail an Herrn Breuer.

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Elena

Elena beschäftigte Unternehmen und Datenschutz-Aufsichtsbehörden. Mittlerweile hat das Bundesverfassungsgericht über eine Verfassungsbeschwerde zu entscheiden. Wir erwarten, dass das BVerfG das Elena-Verfahren 2011 modifizieren wird.

Vorratsdatenspeicherung

Das Bundesverfassungsgericht kippte im März 2010 die so genannte “Vorratsdatenspeicherung”. Es bleibt abzuwarten, ob die Politik im Rahmen der vom BVerfG dargelegten Grenzen 2011 eine “datenschutzkonforme Vorratsdatenspeicherung” auf den Weg bringen wird.

Unabhängigkeit der Datenschutz-Aufsichtsbehörden

Der EuGH urteilte ebenfalls im März 2010, dass die Datenschutz-Aufsichtsbehörden neu strukturiert werden müssen, um in Sinne der “Datenschutzrichtlinie” ihre Aufgaben “in völliger Unabhängigkeit” wahrnehmen zu können. Viele Bundesländer werden das Urteil wohl zum Anlass nehmen, die Datenschutz-Aufsichtsbehörden neu zu strukturieren.

Webtracking und Datenschutz im Internet

Zahlreich waren unsere diesjährigen Beiträge zum datenschutzkonformen Webtracking im Internet. Aus unserer Sicht eines der Zentralthemen auch der kommenden Jahre.

Neuregelungen zum datenschutzkonformen Scoring

Im April 2010 traten neue Datenschutzregelungen beim Einsatz von so genannten “Scoring“-Verfahren in Kraft. Unternehmen sollten sich künftig verstärkt mit den neuen Vorschriften zum Scoring auseinandersetzen.

Beschäftigtendatenschutz

Im vergangenen Jahr wurden zahlreiche Entwürfe eines neuen “Beschäftigtendatenschutz-Gesetzes” vorgestellt. Die Regierung einigte sich zuletzt im Herbst auf einen finalen Entwurf, der derzeit Bundestag und Bundesrat zur Entscheidung vorliegt. Die Diskussion um einen praxisgerechten Beschäftigtendatenschutz wird die Unternehmen daher in den kommenden Jahren verstärkt beschäftigten.

Datenschutz und Hausarztverbände

Die Datenschutz-Aufsichtsbehörden gerieten mit den Hausarztverbänden in Streit über die datenschutzkonforme Darstellung von Abrechnungssystemen. Gerade Unternehmen im Gesundheitsbereich müssen sich um eine datenschutzkonforme IT-Umgebung bemühen.

Abkehr vom Personenbezug?

Unter anderem auf dem Triberger Symposium zum Datenschutz im 21. Jahrhundert wurde diskutiert, inwieweit sich gesetzliche Regelungen im Datenschutz künftig noch am Merkmal des “Personenbezugs” orientieren werden. Unsere Prognose: Künftige Datenschutz-Regelungen werden immer mehr vom Merkmal des “Personenbezugs” absehen.

Übersicht unserer Fachbeiträge im Jahr 2010

Zur Vertiefung der Datenschutz-Themen des vergangenen Jahres finden Sie hier eine Übersicht unserer Datenschutz-Fachbeiträge.

Wir wünschen allen unseren Lesern einen guten Rutsch in das neue Jahr.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Vortrag von Herrn Professor Dr. Ulrich Goll

Herr Professor Goll, der Datenschützern insbesondere durch seine frühe kritische Haltung gegenüber „ELENA“ bekannt sein dürfte, eröffnete seinen Vortrag mit dem Leitsatz „Nur nicht gespeicherte Daten sind sichere Daten“.

Vortrag von Herrn Peter Schaar

Hervorzuheben ist die Rede von Herrn Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Herr Schaar stellte insbesondere seine inzwischen kritisch diskutierte These zur „neuen Vorratsdatenspeicherung“ namens „Quick Freeze Plus“ vor und nahm bejahend zur „Cookie-Richtlinie“ Stellung.

Vortrag von Herrn Professor Dr. Matthias Bäcker

Großes Interesse weckte bei mir auch der Vortrag von Herrn Professor Dr. Matthias Bäcker, LL.M. von der Universität Mannheim (zuvor Wissenschaftlicher Mitarbeiter am Bundesverfassungsgericht, Dezernat BVR Prof. Dr. Hoffmann-Riem / BVR Prof. Dr. Masing) zum Thema „Informationelle Selbstbestimmung und private Rechtsverhältnisse“.

Der Vortrag befasste sich mit der verfassungsrechtlichen Einbettung des Datenschutzes, enthielt einen Definitionsvorschlag für die Begriffe „Daten“ und „Information“, erläuterte klärend die Abgrenzung zwischen datenschutzrechtlichen Vorgaben für öffentliche Stellen und nicht-öffentliche Stellen („Freiheit gegen Freiheit“) und stellte zum Schluss fest, dass bei der Diskussion um neue Datenschutzgesetze in Berlin häufig vergessen werde, dass der Gesetzgeber aufgrund europarechtlicher Vorgaben häufig keinen oder nicht den behaupteten Spielraum mehr habe. Dies würde auch das Datenschutz Eckpunktepapier der Datenschutz-Aufsichtsbehörden in Teilen verkennen.

Ende der Forderung nach einem „Personenbezug“ von Daten?

Interessant war für mich auch die Feststellung, dass insbesondere Herr Schaar und Herr Professor Bäcker in ihren Vorträgen nach meinem Verständnis anklingen ließen, dass die in § 3 Abs. 1 BDSG vorgenommene Definition von personenbezogenen Daten nicht mehr ausreichend Schutz bieten würde. Vielmehr war eine klare Tendenz zu erkennen, dass man für einen effektiven Datenschutz künftig die Ansammlung von Daten auch dann regulieren müsse, wenn es sich nicht um personenbezogene Daten handeln würde. Etwas verallgemeinernd gesprochen: auch das Sammeln von Daten ohne Personenbezug müsse unter Umständen reguliert werden, wenn mit der Datensammlung eine Gefährdung des informationellen Selbstbestimmungsrecht einhergehe. Eine Tendenz, die sich ja auch schon in der geplanten „Cookie-Richtline“ sowie der Diskussion um Google StreetView abzeichnet.

Offene Fragen: Durchsetzbarkeit deutschen Datenschutzrechts

Keine wirklichen Antworten konnten auf die Frage gefunden werden, wie deutsche datenschutzrechtliche Vorgaben in Zeiten einer globalisierten Wirtschaft und vor allem des Internets auch international durchgesetzt werden können. Zwischen den Zeilen war der Vorschlag zu hören, letztlich durch eine stärke Harmonisierung der Vorgaben und des Vorgehens innerhalb der EU unter Nutzung der Marktmacht mit circa 350 Millionen Europäern den Datenschutz gegenüber Nicht-EU-Staaten durchzusetzen.

Datenschutzrecht führt zu Wettbewerbsverzerrungen

Interessant war in diesem Kontext auch die Feststellung von Herrn Schaar, dass es seiner Ansicht nach eine nicht gerechtfertigte Benachteiligung des in Deutschland ansässigen „StudiVZ“ darstellen würde, wenn sich diese nach dem strengen deutschen Datenschutzrecht zu richten hätten, Facebook als in Kalifornien ansässiges Unternehmen diesen Datenschutz-Regularien indes faktisch entgehe.

Diskussionsrunde am Schlusstag

Unter Moderation von Frau Dr. Knapp von der Frankfurter Rundschau erörterten am Schlusstag Herr Professor Dr. Goll, Herr Peter Schaar, Frau Gabriela Krader LL.M. (Datenschutzbeauftragte der Deutschen Post AG) und Herr Detlef Borchers nochmals Perspektiven der gesetzgeberischen Gestaltungsmöglichkeiten im Datenschutz.

Die Aussagen in Kürze: Frau Gabriela Krader LL.M.

• Nach Ansicht von Frau Krader befinde sich das Recht auf „informationelle Selbstbestimmung“ derzeit „in akutem Notzustand“.
• Die datenschutzrechtliche Rechtslage sei für Unternehmen zudem vielfach unklar (genannt wurden Probleme in der Auslegung von § 11 BDSG, der Scoring-Vorschriften, dem Screening von Beschäftigtenlisten mit Antiterrorlisten).
• Hervorzuheben war zudem das Plädoyer von Frau Krader für eine Beibehaltung des Konzepts der Einwilligung.

Die Aussagen in Kürze: Herr Detlef Borchers

• Herr Borchers wies in seinen sehr interessanten Ausführungen darauf hin, dass die junge Generation von Anwendern den Datenschutz häufig für überflüssig halte und stellte zudem die„Aktion verschollene Häuser“ vor.
• Auch beschrieb er die Diskussion in Teilen der Internetgemeinde, die eine Regulierung des Datenschutzes als „Herrschaftstechnologie“ ablehne.

Die Aussagen in Kürze: Herr Peter Schaar

• Herr Schaar legte seinen Diskussionsfocus bewusst nicht auf die juristischen Themen sondern stellte die seines Erachtens erforderliche gesellschaftspolitische Diskussion zum Datenschutz in den Vordergrund.
• Herr Schaar hielt es für eine Fehlentwicklung, dass es in unserer Gesellschaft „keine Geheimnisse“ mehr geben solle. Eine zivilisierte Gesellschaft, so Herr Schaar, brauche immer Geheimnisse bzw. private Rückzugsräume.
• Auch Herr Schaar kritisierte die derzeitige Rechtslage im Datenschutz als häufig unklar und widerläufig. Zitat: „Wir fahren da in der Tat momentan keinen guten Weg“.
• Daneben legte Herr Schaar einen Schwerpunkt auf Google und die Diskussion um Street View. Google selbst mache zwar seine Nutzer transparent, schaffe aber insbesondere gegenüber den Aufsichtsbehörden keine Öffentlichkeit über Art und Umfang der Datenverarbeitung.
• Seitens Herrn Schaar wurde zudem angeregt, im Internetzeitalter unter Umständen Daten auch dann zu schützen, wenn diese nach bisherigem Verständnis „öffentliche Daten“ seien.
• Auch wenn Herr Schaar betonte, dass es im Internet nie eine 100%ige Löschmöglichkeit würde geben können, begrüßte er die aktuellen Pläne der EU-Kommission zur Überarbeitung des Rechtsrahmens im Datenschutz, die derzeit auch das „Recht auf Löschung“ beinhalten würden. Letztlich sei es erforderlich, einen einheitlichen europäischen Ansatz und Rechtsrahmen im Datenschutz zu schaffen.

Die Aussagen in Kürze: Herr Professor Goll

• Unter dem Motto (Zitat) „retten was zu retten ist“ vertrat Herr Professor Goll die These, dass der veränderte Umgang mit personenbezogenen Daten im Internet ein „jugendtypisches“ Phänomen sei, den die meisten Betroffenen später wahrscheinlich bereuen würden. Im Rahmen der Gestaltungsmöglichkeiten sei der Gesetzgeber daher gehalten, dieser Entwicklung entgegenzuwirken.
• Nach Ansicht von Herrn Professor Goll habe der Gesetzgeber im Bereich des Internet-Datenschutzes keine Alternative zum „anlassbezogenen Aktionismus“. Angesichts der rapiden Veränderungen im technischen Bereich sei der Gesetzgeber hier zwingend immer einen Schritt hinterher (Dem widersprach in Teilen Herr Schaar: Gestaltungsanspruch von Politik müsse seiner Ansicht nach sein, bestimmte Regulierungsmechanismen im Datenschutz zu installieren und „nicht einfach laufen zu lassen“).

Besonders hervorzuheben: Grenzen des Cloud Computings

Besonderer Erwähnung bedürfen noch die Aussagen von Herrn Schaar zum Thema „Cloud Computing“. Nach der Auffassung von Herrn Schaar sei „echtes Cloud Computing“ (vereinfachend gesagt ist „echtes Cloud Computing“: wo welche Daten wann und wie „in der Cloud“ gespeichert werden ist für den Nutzer unklar) derzeit mit deutschem Datenschutzrecht unvereinbar. Allenfalls könne eine datenschutzkonforme Lösung darin bestehen, dass sich Cloud Computing Anbieter freiwillig deutschem Datenschutzrecht unterwerfen würden und eine effektive Kontrolle durch deutsche Aufsichtsbehörden gewährleistet sei.

Fazit

Das Triberger Symposium zum Datenschutz hat interessante Denkanstöße geliefert und meines Erachtens wichtige offene Punkte im Datenschutzrecht angesprochen. Interessant war aus meiner Sicht vor allem der Einblick in die unterschiedlichen Grundansichten zum Thema Datenschutz sowie der Ansatz, im Datenschutzrecht vom Merkmal des Personenbezugs abzusehen, die „junge Generation“ vor sich selbst zu schützen und über eine Europäisierung der Datenschutz-Vorschriften langfristig die eigenen Datenschutz-Standards auch außerhalb der EU durchzusetzen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Zwei technische Verfahren bei der Bezahlung mit der ec-Karte

Wenn im Supermarkt oder in anderen Geschäften nicht mit Bargeld sondern mit der ec-Karte bezahlt werden soll, gibt es grundsätzlich zwei verschiedene technische Bezahlverfahren, die der Händler einsetzen kann: entweder wird ein „PIN-Code“-Verfahren genutzt, bei dem sich der Käufer mit seiner ec-PIN identifizieren muss, oder die Bezahlung erfolgt mittels Lastschriftverfahren, bei dem der Käufer mit seiner Unterschrift die spätere Lastschriftbuchung von seinem Konto gestattet.

Beim PIN-Code-Verfahren ist seitens der Bank sichergestellt, dass das Konto des Käufers entsprechende Deckung aufweist: die Zahlung wird sofort an den Händler veranlasst.

Beim ec-Lastschriftverfahren besteht eine solche Sicherheit für den Händler nicht: letztlich riskiert der Händler hier, dass das Konto des Käufers keine entsprechende Deckung aufweist oder der Käufer später die Lastschriftbuchung von seiner Bank retournieren lässt.

Im Gegensatz zum PIN-Code-Verfahren kostet das ec-Lastschriftverfahren nur einen Bruchteil, weshalb der Handel in der Breite auf das ec-Lastschriftverfahren zurückgreift.

Was passiert nun an der Supermarktkasse?

Zum Schutz der Händler vor betrügerischen oder zahlungsunfähigen Käufern wird momentan die ec-Karte von den Zahlungsanbietern bzw. deren Dienstleistern überprüft. Fällt diese Prüfung negativ aus, wird dem Kunden entweder das PIN-Code-Verfahren angeboten oder eine alternative Zahlungsweise (Barkauf) empfohlen.

Auf welchen Daten basiert diese Entscheidung?

Um zu beurteilen, ob einem Kunden das ec-Lastschriftverfahren ermöglicht wird, werden derzeit unter anderem folgende Daten nach bestimmten Missbrauchsmustern analysiert: wurde die Karte gesperrt? Wurde die Karte innerhalb von kurzer Zeit an zwei weit entfernten unterschiedlichen Orten eingelesen? Ist die Karte gültig?

Das heißt: es wird kein Bild über die finanzielle Leistungsfähigkeit des Käufers erstellt. Vielmehr beruht die Entscheidung auf Wahrscheinlichkeitswerten hinsichtlich der potentiell missbräuchlichen Verwendung der ec-Karte.

Inwieweit stellt diese Auskunft damit überhaupt ein personenbezogenes Datum dar?

Letztlich wird damit aus unserer Sicht streng genommen kein personenbezogenes Datum über den Käufer veröffentlicht. Vielmehr besagt die Aussage nur: „die für diesen Kauf vorgeschlagene ec-Karte wird derzeit nicht für den Zahlungsvorgang mittels ec-Lastschriftverfahren empfohlen – egal, wer gerade an der Kasse steht.“

Dennoch: Verfahren ist datenschutzrechtlich umstritten

Diese Ansicht indes teilen viele Aufsichtsbehörden derzeit nicht. Vielmehr wird häufig vertreten, dass es sich bei diesen Angaben um datenschutzrechtlich relevante Daten handele, deren Verarbeitung datenschutzrechtlich unzulässig sei. Nach Ansicht vieler Aufsichtsbehörden steht derzeit noch in Frage, ob diese „Datenverarbeitung“ auf Grund eines gesetzlichen Erlaubnistatbestands zulässig sei oder nicht.

Lösungskonzept: Einwilligungserklärung

Auch das bislang von dem Handel verfolgte Konzept der Einwilligung wird von Teilen der Aufsichtsbehörden in Frage gestellt. Derzeit enthalten die Lastschriftbelege eine Formulierung, wonach der Kunde in die eingehend dargestellte „Datenverarbeitung“ einwilligt (Anm.: die genaue Ausgestaltung dieser Formulierung war bereits zu Jahresbeginn Gegenstand der öffentlichen Diskussion).

Die Aufsichtsbehörden vertreten nun in Teilen die Auffassung, dass diese Einwilligung per se nicht möglich sei, da sie zum einen weder freiwillig und zum anderen verspätet (also nach der „Datenverarbeitung“) erfolge. Damit würden die Aufsichtsbehörden hierbei zumindest im Vergleich zu den Anforderungen im Versicherungs- und Gesundheitsbereich wesentlich strengere Maßstäbe anlegen.

Ausblick

Unseres Erachtens ist das ec-Lastschriftverfahren datenschutzrechtlich zulässig.

1. Es steht bereits in Frage, ob die Restriktionen des BDSG überhaupt greifen.
2. Bejaht man dies, wäre das Verfahren zumindest nach § 28 Abs. 1 S. 1 Nr. 1 BDSG zulässig.
3. Der Käufer willigt in die „Datenverarbeitung“ ein.
4. Zusätzlich bringt der Handel inzwischen Hinweistafeln an, auf denen das Verfahren transparent erläutert wird.

Weder Verbrauchern noch den Datenschützern kann damit gedient sein, das ec-Lastschriftverfahren zu Lasten des Handels (und damit letztlich zu Lasten der ehrlichen Verbraucher) zu verschlechtern (bzw. zu Gunsten des teureren PIN-Code-Verfahrens abzuschaffen).

Fazit

Aus unserer Sicht ist die Verwendung des ec-Lastschriftverfahrens datenschutzrechtlich zulässig und in der Praxis bewährt. Das bisher verwendete Verfahren wurde in der Vergangenheit von verschiedenen Datenschutz-Aufsichtsbehörden geprüft und für zulässig befunden. Bei der derzeitigen datenschutzrechtlichen Diskussion sollte berücksichtigt werden, dass die Kosten eines faktischen Verbots des ec-Lastschriftverfahrens letztlich von den ehrlichen Endkunden zu trägen wären.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Zur Einführung ein Video vom NDR: Wie funktioniert ein Nacktscanner (ab 18 J.), ein Bericht zum aktuellen Start in Hamburg, dass Österreich sich raushält und in Italien die Peep-Show bereits beendet wurde.

Grundgesetz: Die Würde des Menschen ist unantastbar. Von Abtastbarkeit war keine Rede.

Autor:
Eckehard Kraska

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Ein ehemaliger Verfassungsrichter hingegen wird in Anspruch genommen mit: Experte hält Verbot durch Verfassungsgericht für möglich.

In dem Folge-Text werden Rahmen-Bedingungen aufgeführt, unter denen Street View als rechtswidrig eingeschätzt werden könnte. Dies unter der Voraussetzung, wonach das Verfassungsgericht sich der Nutzbarmachung von zwischenzeitlich eingetretener technischer Weiterentwicklung entgegenstellen sollte. Denn Street View selber ist nicht neu, wie wir noch sehen werden. Neu ist lediglich die Technik, die (nicht nur) Google einsetzt, sowie all jenes, was mit dem Einsatz neuer Techniken denkbar wäre.

Sämtliche politischen Gruppierungen wollten das Sommerloch nicht einer sich erneut für zuständig haltenden Ministerin Aigner überlassen und reklamierten entweder das vermeintliche Vorliegen eines gesetzwidrigen Verhaltens von Google, oder aber sie beklagten das Fehlen einschlägiger Gesetze, um Google Einhalt gebieten zu können und erwarteten umgehende gesetzgeberische Abhilfe.

Erwartungen, deren schnelle Umsetzung durch Innenminister de Maziere gedämpft werden.

Die Gewährung einer Einspruchsfrist gegen eine Erfassung durch Street-View, sowie die nachträgliche Verlängerung dieser Frist: stellte dies womöglich ein kulantes Entgegenkommen seitens Google dar?

Auch die EU meldete sich mit der forschen Forderung nach Beachtung von EU-Standards, die dann jedoch in anderen, bereits abgefilmten EU-Ländern unbeachtet geblieben sein müssten.

Datenschutz stellt womöglich etwas vollständig anderes als das dar, was sich einige Bürger, Politiker oder Medien darunter vorzustellen scheinen.

Street View gibt es länger, als diese BRD existiert. Vorläufer der aktuellen Street View-Fahrzeuge waren VW-Käfer, auf deren Dach die damals verfügbare Kameratechnologie durch die Städte gefahren wurde, um aus den gewonnenen Bildern dreidimensionale Stadtkarten entwickeln und anschließend vermarkten zu können. Haupteinnahmequelle derer Tätigkeit war und ist bis zum heutigen Tage die Werbung.

Street View, nun mit aktueller Technik, betreibt beispielsweise auch die Stadt Duisburg. Denen geht es ausschließlich um Erfassung, Speicherung und Dokumentation von Gebäuden. Von einer Einspruchsfrist oder einem Angebot der Unkenntlichmachung eigener Gebäude – gar gemäß eines vermeintlichen EU-Datenschutz-Standards – ist im Falle Duisburg nichts bekannt.

In einem Aufsatz las ich: „German Angst“ sei womöglich Triebfeder unserer Skepsis, Deutsche wären mithin Angsthasen. Glaube ich aber nicht. Eher käme ein Defizit von persönlicher Souveränität und Gelassenheit in Betracht. Wobei ich nicht ausschließen will, dass in der Öffentlichkeit Ängste geschürt werden. Politik durch Hysterisierung: derartige Vorgehensweisen zur Erreichung politischer Ziele scheinen bei uns insgesamt zuzunehmen. Wer erinnert sich noch an die Ängste der Deutschen, demnächst ohne Wald auskommen zu müssen.

Dem deutschen Wald geht es gut.

Andere Länder haben offensichtlich ganz andere Probleme. Frankreich beispielsweise versteht sich als Wiege der Aufklärung, und damit als Hüter des Wertes gleicher Rechte für alle Menschen.

Die französische Regierung macht nun geltend, dass dies auch in dem tagtäglichen Umgang der Menschen untereinander zum Ausdruck kommen muss, und erwägt daher ein Verbot der Burka. Diese sei sowohl Instrument als auch Ausdruck von Unterdrückung der Frau.

Wer wollte hier widersprechen.

Eine Burka-Trägerin aus Frankreich widersprach. Sie macht geltend die Burka deswegen zu tragen, weil sie nicht angeschaut werden wolle. Sie wolle sich vor den Blicken anderer schützen.

Die Diskussion in der BRD über ein mögliches Burka-Verbot verläuft etwas anders als in Frankreich. Wir tragen andere Bürden als jene der französischen Revolution.

Wahrscheinlich liegt es nicht an der gewöhnlich schwarzen Färbung einer Burka, warum sich ausgerechnet die CDU gegen ein Burka-Verbot aussprach (Schwarz ist keine Farbe. Ich weiß.) und sich damit die Chance eines weiteren Verbotes durch die Finger flutschen lässt.

Ist hier etwa jener legendäre politische Wille am Werk, unserer Gesellschaft einen Rest von Individualität erhalten zu wollen? Indem man gestatten will, sich vor den Blicken anderer schützen zu können?

Wir Deutsche sind ein trachten-freudiges Volk. Vielleicht sollten wir – als Ausdruck eines durch unser derzeitiges Datenschutz-Verständnis transportiertes Verlangen nach Individualität – die Burka zur Tracht erheben? Die Tracht des Datenschutzes.

Um sich von einer Frauenfeindlichkeit dieser Kleidung glaubwürdig distanzieren zu können, müsste dieses Gewand dann jedoch auch durch den Mann getragen werden. Gleichheit für alle.

Burka für alle, die für sich das Recht reklamieren, ihre Individualität von anderen Blicken unbehelligt und ganz für sich alleine zu beanspruchen.

Womit wir wieder bei Street View wären.

Ich darf der Phantasie des Lesers überlassen, wie man beispielsweise aus einer bei Street View ausgepixelten Immobilie heraustritt und unter einer Burka vor unerwünschten Blicken geschützt sich ins nächste Wirtshaus begeben könnte.

Das ist Datenschutz in Vollendung. Verschmelzung der Kulturen.

Als indirekte Folge von New Technology könnte bei uns gar eine Burka-Industrie entstehen (Arbeitsplätze!) und wir hätten es allen erneut gezeigt, wie wir selbst aus dieser Nummer wieder herauskommen.

Zunächst jedoch müssen wir wohl noch etwas tiefer hineingleiten.

Neue Datenschutzgesetze stehen an, um die bereits geweckten Erwartungen auch bedienen zu können. Aufgeworfene Facebook-Fragen harren ebenfalls noch einer Regelung. Und vielleicht besteht auch noch der Ehrgeiz, sich dabei des in Gang gekommenen Cloud Computing gesetzgeberisch anzunehmen?

Letzteres wäre jedoch mit der Bitte verbunden, wonach sich am besten vorher jemand fände, der erklären mag, was man sich unter Cloud Computing überhaupt vorzustellen habe.

Autor: Eckehard Kraska

Information bei neuen Datenschutz-Artikeln

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Hintergrund: Erlaubnis privater Nutzung

Erlaubt der Arbeitgeber seinen Beschäftigten die Nutzung des betrieblichen E-Mail Zugangs zu privaten Zwecken, wird er damit zu einem geschäftsmäßigen Anbieter von Telekommunikationsdienstleistungen. Das Telekommunikationsgesetz („TKG“) richtet sich nicht nur an Telekommunikationskonzerne als „klassische“ Anbieter von Telekommunikationsdienstleistungen, sondern erfasst auch betriebliche Telekommunikationsanlagen. Diese Möglichkeit wurde vom Gesetzgeber bewusst offengelassen, denn der Anbieter muss weder die Absicht haben mit dem Angebot von Telekommunikationsdiensten „Geld zu verdienen“ (Gewinnererzielungsabsicht – § 3 Nr. 10 TKG), noch muss sich das Angebot an die Allgemeinheit richten sondern kann auch gegenüber einer geschlossenen Benutzergruppe (Belegschaft im betrieblichen Kommunikationsnetz) erbracht werden.

Das Problem: Erlaubnis aufgrund Duldung

Der Arbeitgeber muss nach herrschender Meinung aber nicht einmal explizit die private Nutzung erlauben: es reicht aus, wenn er die auch private Nutzung des E-Mail Zugangs duldet und Verstöße nicht rechtzeitig sanktioniert. Das heißt ganz praktisch: nur das tatsächlich kontrollierte und sanktionierte Verbot privater E-Mail Nutzung schützt den Arbeitgeber wirklich davor, als „Anbieter von Telekommunikationsdienstleistungen“ eingeordnet werden zu können.

Rechtsfolge: Arbeitgeber als „Anbieter von Telekommunikationsdienstleistungen“

Folge der Einordnung des Arbeitgebers als „Anbieter von Telekommunikationsdienstleistungen“ und damit der Anwendbarkeit des TKG ist, dass dieser den Verpflichtungen zum Schutz des Fernmeldegeheimnisses gemäß § 88 TKG unterliegt. Verbindungs- und Inhaltsdaten, die bei der betrieblichen E-Mail Kommunikation anfallen, dürfen nur in den im TKG ausdrücklich geregelten Fällen (Entgeltermittlung § 97 TKG; Störung und Missbrauch von Telekommunikationsdiensten § 100 TKG) erhoben und ansonsten nicht überwacht werden. Insbesondere darf nicht auf andere einfachgesetzliche Erlaubnisnormen z.B. des Bundesdatenschutzgesetzes („BDSG“) zurückgegriffen werden.

Das heißt konkret: Einschränkung von Kontrollmöglichkeiten

Das Fernmeldegeheimnis oder Telekommunikationsgeheimnis statuiert ein Verbot des „unbefugten Abhörens, Unterdrückens, Verwertens oder Entstellens, von Fernmelde- Botschaften und ist grundgesetzlich geschützt (Art. 10 Grundgesetz). Legaldefiniert ist das Fernmeldegeheimnis in § 88 Abs. 1 TKG, wonach von diesem „der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war“, geschützt wird.

Das Bundesverfassungsgericht hat sich 2006 in einer Grundsatzentscheidung zum Anwendungsbereich des Fernmeldegeheimnisses geäußert. Danach soll das Fernmeldegeheimnis die Vertraulichkeit der „privaten“ Fernkommunikation gewährleisten, weil die am Kommunikationsvorgang Beteiligten wegen der räumlichen Distanz auf die Hilfe eines Dritten (Telekommunikationsunternehmen) bei der Datenübermittlung angewiesen sind. Geschützt ist neben per Telefon übertragener Kommunikation auch die Datenübertragung per E-Mail. Das Fernmeldegeheimnis schützt nur vor spezifischen Gefahren, die in Zusammenhang mit dem Übertragungsvorgang stehen. Der Schutzbereich reicht daher nur soweit die Nachricht noch nicht beim Empfänger angekommen ist und damit der Übertragungsvorgang abgeschlossen ist. Sobald nämlich die Nachricht im „Machtbereich“ des Empfängers angelangt ist, kann dieser selbst geeignete Schutzmaßnahmen treffen um den Zugriff von Unbefugten zu verhindern. Zudem können per E-Mail empfangene Dateien gar nicht oder nur sehr schwer von selbst erstellten Dateien unterschieden werden.

Konkret für E-Mails: Auslegung des Begriffs „Herrschaftsbereich des Empfängers“

Bei der Versendung von privaten E-Mails am Arbeitsplatz ist fraglich ab welchem Zeitpunkt die Nachricht im Herrschaftsbereich des Empfängers angelangt ist. Kann man davon bereits ausgehen, wenn die Nachricht auf dem Server des Arbeitgebers angelangt ist, weil ja der jeweilige Angestellte ab diesem Zeitpunkt die weitere Verwendung der E-Mail beeinflussen kann oder soll es darauf ankommen ob die Nachricht auf dem individuell genutzten PC des Beschäftigten eingegangen ist?

BVerfG: E-Mail Postfach ist geschützt

In einer Entscheidung aus dem Jahre 2009 hat der Bundesgerichtshof („BGH“) zudem ausgeführt, dass der vom Fernmeldegeheimnis geschützte Telekommunikationsvorgang auch dann als abgeschlossen zu betrachten sei, wenn die betreffende E-Mail beim Webmail Provider gespeichert ist. Der Schutz des Fernmeldegeheimnisses würde dadurch erheblich beschränkt, da die E-Mails zumeist auf zentralen Servern gespeichert sind. Die Server können mitunter sehr weit vom lokalen Netzwerkanschluss des Beschäftigten entfernt sein.

Diesem Ansatz des BGH hat das Bundesverfassungsgericht allerdings in einem Beschluss vom 16. Juni 2009, bei dem es um die Beschlagnahmung von E-Mails durch die Strafverfolgungsbehörden ging, widersprochen und stellte klar:

„Der zugangsgesicherte Kommunikationsinhalt in einem E Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, ist durch das Fernmeldegeheimnis (Art. 10 Abs. 1 GG) geschützt. Der Kommunikationsteilnehmer hat keine technische Möglichkeit, die Weitergabe der E-Mails durch den Provider an Dritte zu verhindern. Dieser technisch bedingte Mangel an Beherrschbarkeit begründet die  besondere Schutzbedürftigkeit durch das Fernmeldegeheimnis, welches  jenen Gefahren für die Vertraulichkeit begegnen will, die sich aus der  Verwendung eines Kommunikationsmediums ergeben, das einem staatlichem Zugriff leichter ausgesetzt ist als die direkte Kommunikation unter Anwesenden.

Dies gilt unabhängig davon, ob eine E-Mail auf dem Mailserver des Providers zwischen- oder endgespeichert ist. Dem Schutz durch Art. 10 Abs. 1 GG steht nicht entgegen, dass während der Zeitspanne, während deren die E-Mails auf dem Mailserver des Providers „ruhen“, ein Telekommunikationsvorgang in einem dynamischen Sinne nicht stattfindet. Art. 10 Abs. 1 GG folgt nicht dem rein technischen Telekommunikationsbegriff des Telekommunikationsgesetzes, sondern knüpft an den Grundrechtsträger und dessen Schutzbedürftigkeit aufgrund der Einschaltung Dritter in den Kommunikationsvorgang an. Die spezifische Gefährdungslage und der Zweck der Freiheitsverbürgung von Art. 10 Abs. 1 GG bestehen auch dann weiter, wenn die E-Mails nach Kenntnisnahme beim Provider gespeichert bleiben. […] Die Auslagerung der E-Mails auf den nicht im Herrschaftsbereich des Nutzers liegenden Mailserver des Providers bedeutet nicht, dass der Nutzer mit dem Zugriff auf diese Daten durch Dritte einverstanden ist (Beschluss vom 16. Juni 2009, 2 BvR 902/06).“

Zwar hatte das Bundesverfassungsgericht vorliegend über einen Fall mit strafprozessualem Einschlag zu entscheiden. Eine ähnliche Gefahrenlage für die (gestattete) private E-Mail Kommunikation des Arbeitnehmers ergibt sich jedoch gleichwohl, sodass die vom Bundesverfassungsgericht aufgestellten Grundsätze ebenfalls gelten müssen.

Teilweise wird nach der Art des eingesetzten E-Mail Systems (POP3- oder IMAP-Verfahren) unterschieden. Bei einer POP3 Anwendung, wo die E-Mails beim Abruf durch den E-Mail Client (MS Outlook, Mozilla Thunderbird, etc.) vom Server im Regelfall automatisch gelöscht und nur lokal gespeichert werden, unterfallen diese E-Mails nach herrschender Meinung nicht mehr dem Schutz des Fernmeldegeheimnisses. Im Gegensatz dazu wird bei Verwendung des IMAP-Protokolls lediglich eine Kopie der auf dem Server gespeicherten Nachricht angefertigt.

IMAP-Postfach: Fernmeldegeheimnis?

Daraus folgt teilweise die – umstrittene – Ansicht, dass per IMAP weiterhin auf dem Server gespeicherte E-Mail ebenfalls nicht mehr dem Fernmeldegeheimnis unterfallen, denn der E-Mail-Empfänger habe sich ja bewusst dazu entschieden die E-Mail im „Machtbereich“ des Arbeitgebers zu belassen anstatt vom Server zu löschen. Dagegen spricht nicht nur, dass ein bloßes passives „zur Kenntnis nehmen“ nicht mit einer aktiven Handlung (E-Mail löschen, verschieben etc.) gleichgesetzt werden kann, sondern auch der mit IMAP verbundene Sicherheitsaspekt. Sinn der grundsätzlich dauerhaften Speicherung der E-Mails auf dem Posteingangsserver ist, dass diese auch im Fall eines Computerabsturzes weiterhin verfügbar sind und zudem die Bearbeitung von E-Mail ggf. nicht auf einen PC Arbeitsplatz beschränkt ist sondern mehrfach abgerufen werden kann. Diese Vorteile dürfen nicht durch ein – aus Sicht des Arbeitnehmers – geringeres Schutzniveau entwertet werden.

Ausblick: neuer Gesetzentwurf zum Beschäftigtendatenschutz sieht Ausnahme vor

In einigen Punkten verspricht nun der Entwurf des Bundesinnenministeriums vom 11. August 2010 zur Schaffung eines “Gesetzes zur Regelung des Beschäftigtendatenschutzes” Abhilfe, der nach verschiedenen Presseberichten noch diese Woche vom Bundeskabinett verabschiedet werden soll (Update: “Beschäftigtendatenschutz: Regierung verabschiedet Gesetzesentwurf“). Danach soll gemäß § 32i Abs. 4 BDSG-E bei Verbot der Privatnutzung (str.) auch bei privaten Daten im E-Mail-Postfach des Beschäftigten der Zugriff durch den Arbeitgeber zulässig sein, wenn der Beschäftigte hiervon weiß und es für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Fazit

Die Reichweite des Fernmeldegeheimnisses ist bei der E-Mail Überwachung durch den Arbeitgeber auch wegen seiner strafrechtlichen Absicherung eine kritische Größe und in jedem Fall zu beachten. Wollen Arbeitgeber die Privatkommunikation über die betriebliche E-Mail-Adresse gestatten, haben diese sich bei der Überwachung in den Grenzen der Erlaubnisnormen des TKG zu bewegen und müssen dadurch auf weitgehende Kontrollen ihrer Beschäftigten verzichten. Klärung einiger offener Fragen verspricht der neue Entwurf des Bundesinnenministeriums zum Beschäftigtendatenschutz: danach sollen Kontrollen insb. des E-Mail-Postfachs künftig grundsätzlich möglich sein, wenn die Privatnutzung untersagt ist (str.), der Beschäftigte hiervon weiß und die Kontrolle für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessor Benjamin Schuetze, LL.M. (VUW)

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Das Erfordernis einer rechtlichen Regelung

Die Qualität privater Satelliten entspricht mittlerweile der von militärisch und nachrichtendienstlich genutzten Satelliten des Staates und stellt damit auch ein potentielles Sicherheitsrisiko dar. Die USA haben bereits die Ausfuhr von Satellitenbauteilen an nationale gesetzliche Regelungen des Importlandes gebunden, die ihren Sicherheitsbedenken hinreichende Garantien geben. Auch der deutsche Gesetzgeber sah daher Handlungsbedarf, die Nutzung von Satelliten-Geodaten einer gesetzlichen Regelung zu unterwerfen.

Das Satellitendatensicherheitsgesetz

Mit dem „Gesetz zum Schutz vor Gefährdung der Sicherheit der Bundesrepublik Deutschland durch das Verbreiten von hochwertigen Erdfernerkundungsdaten“ (kurz Satellitendatensicherheitsgesetz oder SatDSiG) unternimmt der Gesetzgeber den Versuch, sicherheits- und außenpolitische Interessen des Staates einerseits und privatwirtschaftliche und wissenschaftliche Interessen anderseits in Einklang zu bringen.

Privater Betrieb eines Satelliten: Genehmigungsvorbehalt

Das SatDSiG stellt den privaten Betrieb eines hochwertigen Erdfernerkundungssystems vom Gebiet der Bundesrepublik aus gem. §§ 3,1 SatDSiG unter einen Genehmigungsvorbehalt des Staates. Vorab geprüft werden sollen hierbei vor allem die durch den Satelliten gesammelten Daten.

Was sind Satelliten-Geodaten?

§ 2 Abs. 1 Nr. 2 definiert Daten im Sinne des SatDSiG als

„Signale eines Sensors oder mehrerer Sensoren eines Orbital- oder Transportsystems und alle daraus abgeleiteten Produkte, unabhängig vom Grad ihrer Verarbeitung und der Art ihrer Speicherung oder Darstellung.“

Ein solcher Sensor ist nach § 2 Abs. 1 Nr. 5 SatDSiG

„ein Teil eines raumgestützten Erdfernerkundungssystems, das elektromagnetische Wellen aller Spektralbereiche oder gravimetrische Felder aufzeichnet.“

Sind Satelliten-Geodaten auch personenbezogene Daten im Sinne des BDSG?

Ob diese Daten auch personenbezogene Daten sind, richtet sich nach § 3 Abs. 1 Bundesdatenschutzgesetz („BDSG“). Danach sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Die Meinung des EuGH und BVerfG zu dieser Frage

Im Grundsatz können Geodaten v.a. Aussagekraft über eine Person bezüglich ihres Aufenthaltes, ihrer Nutzungsbeziehung zur abgebildeten Umwelt oder zum Eigentum haben. Sind Angaben jedoch zu großflächig und somit zu allgemein, könne kein Personenbezug mehr angenommen werden. Die Übermittlung von Art und Umfang der wirtschaftlichen Flächennutzung eines Zielgebiets hat der Europäischen Gerichtshof (EuGH, Urt. v. 14.2.2000, Rs. C-369/98) jedoch als personenbezogene Daten angesehen.

Nach der Rechtsprechung des Bundesverfassungsgerichts (BVerfG, Beschluss vom 2.5.2006, 1 BvR 507/01) könne zudem die Abbildung von Grundstücken aus der Luft einen Eingriff in das allgemeine Persönlichkeitsrecht darstellen, wenn Bereiche des privaten Lebensbereichs gezeigt werden, die von öffentlichen Plätzen nicht einsehbar sind. Entscheidend ist insgesamt ob auf die Identität der betroffenen Personen geschlossen werden kann.

Übermittlung von personenbezogenen Daten

§ 27 SatDSiG ist nach der Systematik des Gesetzes Spezialnorm zu § 15 BDSG, der die Übermittlung von personenbezogenen Daten an öffentliche Stellen regelt. Von dieser Besonderheit abgesehen gilt das dem BDSG zugrunde liegende Verbot mit Erlaubnisvorbehalt einer jeden Verarbeitung von personenbezogenen Daten natürlich auch hier.

Gemäß § 27 SatDSiG wird die jeweils zuständige Behörde ermächtigt, zur Abwehr einer Gefahr für die wesentlichen Sicherheitsinteressen der Bundesrepublik Deutschland oder zur Verhinderung einer Störung des friedlichen Zusammenlebens der Völker oder einer erheblichen Störung der auswärtigen Beziehungen oder zur Verhütung oder Verfolgung von Straftaten personenbezogene Daten, die ihr bei der Erfüllung ihrer Aufgaben bekannt geworden sind, an eine andere Behörde zu übermitteln. Auch eine Übermittlung an den Bundesnachrichtendienst ist möglich, soweit der Zweckbindungsgrundsatz gewahrt wird.

§ 27 Abs. 2 SatDSiG enthält eine weitere Ermächtigungsgrundlage zur Datenübermittlung im Falle von Strafverfahren wegen eines Verstoßes gegen das SatDSiG. Gerichte und Staatsanwaltschaften dürfen hiernach aus denselben bereits zu Absatz 1 erwähnten Gründen an oberste Bundesbehörden personenbezogene Daten übermitteln. Eine Übermittlung ist nur zulässig, wenn das Interesse an der Verwendung der übermittelten personenbezogenen Daten das Interesse des Betroffenen an der Geheimhaltung erheblich überwiegt und der Untersuchungszweck des Strafverfahrens nicht gefährdet werden kann.

Das Verfahren zur Verbreitung von Daten

Soweit Daten verarbeitet werden, sieht das SatDSiG ein zweistufiges Prüfungsverfahren vor, bevor Daten von hochwertigen Erdfernerkundungssystemen erstmals verbreitet werden dürfen.

§ 17 SatDSiG legt dem Datenanbieter zunächst eine Vorabprüfung auf. Dieser hat die Anfrage auf ihre Sensitivität hin zu prüfen. Nach Absatz 2 ist eine Gesamtschau der aus den Daten zu entnehmenden Informationen sowie der antragenden Person vorzunehmen. Insbesondere die Person des Antragenden soll in geeigneter Weise durch den Datenanbieter überprüft werden. Den Datenanbieter ist nach § 18 SatDSiG umfassend zu Dokumentation von Anfragen verpflichtet.

Ziel ist es, die Möglichkeit eines Schadenseintritts für die wesentlichen Sicherheitsinteressen der Bundesrepublik Deutschland, das friedliche Zusammenleben der Völker oder die auswärtigen Beziehungen der Bundesrepublik einschätzen zu können. § 17 Abs. 3 SatDSiG zusammen mit § 2 der vom Bundesministerium für Wirtschaft und Technologie erlassenen Satellitendatensicherheitsverordnung bestimmen, unter welchen Voraussetzungen die Möglichkeit eines Schadenseintritts vorliegt. Zu berücksichtigen sind regelmäßig zu aktualisierende Sicherheitsanforderungen und internationale Verpflichtungen der Bundesrepublik, insbesondere im Zusammenhang mit der NATO.

Schließlich stellt die Verordnung in § 2 Abs. 1 fest, dass Anfragen der Bundesrepublik, die in Fällen höchster Sicherheitsrisiken nach § 21 SatDSiG auch vorrangig zu bedienen wären, nicht als sensitive Anfragen anzusehen sind. Anfragen von deutschen militärischen oder nachrichtendienstlichen Behörden sind grundsätzlich als nicht sensitiv anzusehen.

Zweite Stufe des Verfahrens: Erlaubnisvorbehalt nach § 19 SatDSiG

Die zweite Stufe des Verfahrens zur Verbreitung von Daten findet sich in einem Erlaubnisvorbehalt nach § 19 SatDSiG. Ein Datenanbieter muss jede Verbreitung von Daten hochwertiger Erdfernerkundungssysteme behördlich bestätigen lassen. Die zuständige Behörde muss innerhalb eines Monats entscheiden, ob die bereits erwähnte Möglichkeit eines Schadenseintritts nun auch im konkreten Einzelfall vorliegt.

Fazit zur Anreicherung der Diskussion, durch nationale Gesetzgebung globale Sachverhalte regeln zu wollen:

Der deutsche Gesetzgeber hat den rechtlichen Rahmen für die kommerzielle Verbreitung hochauflösender Satellitendaten geschaffen. Dies schließt datenschutzrechtliche Ermächtigungsgrundlagen im Bereich Sicherheit und Strafprävention und -verfolgung ein. Der Staat behält damit weitreichend die Kontrolle über hochauflösende Satellitendaten. Dazu gehört insbesondere das staatliche Interesse an Informationen über Personen, die Zugang zu sensitiven Daten oder eine entsprechende Anfrage getätigt haben.

Allgemeiner Hinweis: vertiefende Informationen enthält auch die Studie „Geodaten und Datenschutz“ des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) aus dem Jahr 2006.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz
Michael Stolze (Jurist (univ.))

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Anmerkung: Ich selbst nutze Facebook intensiv seit Jahren; es geht mir mit dem Beitrag darum, die Diskussion um Facebook etwas zu versachlichen. Bitte schreiben Sie mir, wenn Sie weitere Verfahren kennen, die Ihrer Meinung nach der Liste hinzugefügt werden sollten oder wenn die von mir beschriebenen Verfahren Ihrer Meinung nach unzutreffend sind.

Analyse anhand der Facebook Stammdaten

Facebook erhält über die (optional) hinterlegten Stammdaten potentiell Informationen über Wohnort, Alter, Kontaktmöglichkeiten, politische und religiöse Ausrichtung, Bildungsstand, besuchte Bildungseinrichtungen, Beziehungsstatus und sexuelle Orientierung.

Analyse anhand des Freundeskreises

Der eigene bei Facebook verlinkte Freundeskreis (und die theoretisch messbare Intensität von Interaktion mit einzelnen Freunden) lässt Rückschlüsse auf das eigene soziale Verhalten (auf der Facebook-Plattform) zu.

Analyse des Freundeskreises nach Kontaktgrad

Auch können durch Überschneidungen von Freundeskreisen unterschiedliche Kontaktgrade im Freundeskreis festgestellt werden (“Freund XYZ ist zugleich Freund überdurchschnittlich vieler Freunde Ihres Freundeskreises im Übrigen; daher ist relativ wahrscheinlich, dass Freund XYZ einen hohen Kontaktgrad zu Ihnen aufweist”).

Auswertung der geschriebenen „Postings“

Facebook kann anhand der verlinkten Postings Informationen darüber gewinnen, welche Themen Sie persönlich besonders interessieren. Dabei lässt sich beispielsweise auch analysieren, welche Webseiten Sie häufiger zur eigenen Meinungsbildung heranziehen.

Auswertung anhand des mutmaßlichen Einwahlortes

Es ließe sich zumindest theoretisch auch der anhand der IP-Adresse grob zuordbare Ort auswerten, von dem aus die Facebook-Seite durch einen Nutzer aufgerufen wird. So könnte sich beispielsweise feststellen lassen, ob ich mein Facebook-Profil gerade in Rom, San Francisco oder Hamburg aufrufe.

Angabe eigener Interessen

Facebook-Nutzer können in ihrem Account andere Facebook-Seiten verlinken, deren Inhalt sie zu ihren persönlichen Interessen zählen (beispielsweise Facebook-Seiten von Sportvereinen, Musikern, politischen Parteien etc.).

Analyse durch Angaben in Facebook-Tools von Drittanbietern

Zahlreiche Drittanbieter stellen Facebook-Tools zur Verfügung, mit denen Sie weitere Angaben zu Ihrer Person hinterlegen können.

Einige Beispiele:

• Es gibt ein Tool, in dem Sie alle Orte hinterlegen können, die Sie einmal bereist haben
• Es gibt ein Tool, mit dem Sie Ihren IQ messen können
• Es gibt ein Tool zur Analyse Ihres optimalen Partners anhand Ihrer persönlichen Vorlieben, Neigungen und Interessen

Analyse anhand der hochgeladenen Fotos

Auf Facebook können Sie Fotos hochladen und mit Angaben zu darauf abgebildeten Personen, Ort und Zeitpunkt versehen. Es gibt zudem mittlerweile Software, die mit relativ hoher Genauigkeit Gesichtserkennung durchführen kann – also automatisiert Personen auf Bildern erkennt.

Funktion „Friend Finder“

Facebook bietet mit der Funktion „Friend Finder“ die Möglichkeit, das eigene Adressbuch (beispielsweise von Googlemail oder Outlook) mit Facebook abzugleichen. Sind die darin hinterlegten Kontakte Mitglieder auf Facebook, werden Sie als potentieller Freund vorgeschlagen.

Diese Funktion bietet die denktheoretische Möglichkeit, dass Facebook nicht nur die Daten jener Nutzer verwendet, die bereits Facebook-Nutzer sind, sondern auch die Daten jener Kontakte speichert, die noch nicht Nutzer von Facebook sind.

Zudem kann über den Vergleich der Adressbücher von verschiedenen Benutzern der Kontaktgrad unter den Nutzern festgestellt werden: so ist die Übereinstimmungen der Adressbücher im engen Freundeskreis in der Regel höher als mit weiter entfernen Bekannten.

Funktion „Freunde einladen“

Über die Funktion „Freunde einladen“ können Facebook-Nutzer Bekannte (unter Angabe von Namen und E-Mail-Adresse) zur Facebook Plattform einladen.

Verlinkung von Personen auf Fotos, die noch nicht Facebook-Nutzer sind

Facebook-Nutzer haben die Möglichkeit, auf Fotos auch Personen zu identifizieren, die noch nicht Nutzer von Facebook sind. Hierbei haben Sie auch die Möglichkeit, die E-Mail-Adresse der betroffenen Person anzugeben, um diese Person (bereits verlinkt mit dem Foto) zur Nutzung von Facebook einzuladen.

Anlegen von „Schattenprofilen“

Es kann sein, dass Facebook „Schattenprofile“ anhand der oben beschriebenen Angaben von Personen anlegt, die noch nicht Nutzer von Facebook sind. So wäre es technisch wie strategisch zumindest nachvollziehbar, wenn Facebook Daten von Nicht-Facebook-Nutzern (bspws. aus Einladungs-E-Mails, Verlinkung auf Fotos, Abgleich von Adressbüchern) „passiv“ im Hintergrund als „Schattenprofil“ speichern würde. Mir sind mehrere Fälle bekannt, wo sich Personen neu bei Facebook anmeldeten und die eigenen personenbezogenen Daten (Fotos, mögliche Freunde aus dem Bekanntenkreis etc.) bereits mit der eigenen E-Mail-Adresse verknüpft waren.

Verwendung des „Like“-Buttons auf Facebook

Mit dem Facebook-internen Like-Button („Gefällt mir“) kann von anderen Facebook-Nutzern hochgeladener Content mit einer eigenen Präferenz versehen werden.

Verwendung des „Like“-Buttons auf Drittseiten

Die in einem gesonderten Beitrag bereits beschriebene Funktion des „Like“ („Gefällt mir“) Knopfes auf Drittseiten eröffnet (auch ohne Klick auf den Knopf bei zugleich eingeloggtem Facebook-Account) meines Erachtens die zumindest technische Möglichkeit, dass das allgemeine Webseiten-Besucherverhalten im Internet dem eigenen Facebook-Account zugeordnet werden kann. Facebook kann mit anderen Worten (meines Erachtens) über den Like-Button verfolgen, welche Webseiten im Internet besucht werden. Zudem können dann bei einem Klick auf den Like-Button noch einzelne Webseiten mit einer benutzerbezogenen Präferenz bewertet werden.

Angaben von Freunden über Freunde

Es gibt diverse Tools von Drittanbietern, mittels derer Sie über andere Freunde ihres Freundeskreises Angaben hinterlassen können. So gibt es beispielsweise Fragetools, mit denen Sie ihre Freunde nach Beliebtheit bewerten oder Angaben über deren vermeintliche sexuelle Orientierung und politische Ausrichtung speichern können.

Unterscheidung von Freunden in Personengruppen

Facebook-Nutzer haben die Möglichkeit, ihre Freunde in Personengruppen (Familie, enge Freunde, Bekannte, Geschäftskontakte etc.) zu untergliedern.

Fazit

Ich möchte nochmal klarstellen, dass es mir nicht darum geht, Facebook in irgendeiner Weise negativ darzustellen oder von der Nutzung von Facebook abzuraten. Ziel des Beitrages ist, eine Versachlichung in der Diskussion dergestalt vorzunehmen, dass überhaupt einmal die Sachlage geklärt wird. Ich persönlich bin der Meinung, dass Facebook ein Faktum ist, welches einem weltweiten Nutzerbedürfnis (seit kurzem mehr als 500 Mio. Nutzer) nachkommt.

Es handelt sich hierbei nach meinem Verständnis um eine völlig neue Qualität der Sammlung und –verknüpfung von sozialen Daten, die gerade auf mittel- und langfristige Sicht völlig neue Auswirkungen auf unser gesellschaftliches Verhalten haben wird (versetzen Sie sich in die Lage eines 8-jährigen Schülers der beginnt, sein gesamtes jugendliches Sozialleben über Facebook zu organisieren). Die Antwort dürfte meines Erachtens nicht in nationaler Regulierung liegen; vielmehr sollten die neuen Schlagworte „Transparenz“ und „Kontrolle über die Nutzung der eigenen Daten durch Dritte“ lauten.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Das BVerfG führt hierzu in Randziffer 8 aus:

“Das Recht auf informationelle Selbstbestimmung ist der Einschränkung im überwiegenden Allgemeininteresse zugänglich. Diese bedarf einer gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenbestimmtheit genügt und verhältnismäßig ist (BVerfGE 65, 1 <43 f.>; stRspr).”

Und weiter in Randziffer 10:

“Die Gerichte haben bei der Auslegung und Anwendung von einfachem Recht den grundgesetzlichen Wertmaßstäben Rechnung zu tragen. Die fachgerichtliche Rechtsprechung unterliegt jedoch nicht der unbeschränkten verfassungsgerichtlichen Nachprüfung (BVerfGE 18, 85 <92 f.>). Eine umfassende Kontrolle der Auslegung und Anwendung des einfachen Rechts findet nicht statt. Das Bundesverfassungsgericht überprüft – abgesehen von Verstößen gegen das Willkürverbot – nur, ob die angefochtenen Entscheidungen Auslegungsfehler enthalten, die auf einer grundsätzlich unrichtigen Anschauung von der Bedeutung des betroffenen Grundrechts, insbesondere vom Umfang seines Schutzbereichs, beruhen (vgl. BVerfGE 18, 85 <92 f., 96>; 85, 248 <257 f.>; 87, 287 <323>). Ein Grundrechtsverstoß, der zur Beanstandung der angegriffenen Entscheidungen führt, liegt vor, wenn übersehen worden ist, dass bei Auslegung und Anwendung der einfachgesetzlichen Vorschriften Grundrechte zu beachten waren, wenn der Schutzbereich der zu beachtenden Grundrechte unrichtig oder unvollkommen bestimmt oder ihr Gewicht unrichtig eingeschätzt worden ist (vgl. BVerfGE 18, 85 <92 f., 96>; 101, 361 <388>; 106, 28 <45>).”

Das OLG Düsseldorf hatte in einer vergleichbaren Angelegenheit hierzu zuletzt ausgeführt:

“Hinsichtlich § 100h Abs. 1 Nr. 1 StPO bestehen bereits Zweifel an der grundsätzlichen Anwendbarkeit der Vorschrift im Bußgeldverfahren. Denn die Gesetzesänderungen durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung vom 21.12.2007 (BGBl I 2007, 3198) sollen nach ihrem Sinn und Zweck in erster Linie der Bekämpfung von schwer ermittelbarer Kriminalität dienen (vgl. BT-Drucksache 16/5846; Grunert DAR 2010, 28, 29).

Nach dem Regelungsgehalt der Vorschrift wird die Anfertigung von bildlichen oder videografischen Aufnahmen zu Zwecken der Observation erfasst, nicht hingegen deren Anfertigung zur Beweissicherung und Auswertung (vgl. KK-Nack, aaO, § 100h StPO Rdnr. 1; Meyer-Goßner/Cierniak, 52. Aufl., § 100h StPO Rdnr. 1 mwN; Grunert, aaO). Zudem muss es sich um eine Straftat von erheblicher Bedeutung handeln (vgl. KK-Nack, aaO, § 100h StPO Rdnr. 6 mwN).

Abgesehen davon kann § 100h Abs. 1 Nr. 1 StPO als potentielle Ermächtigungsgrundlage ebenfalls nur für Videoaufzeichnungen in Betracht kommen, die zeitlich nach dem Vorliegen eines Anfangsverdachts ausgelöst werden. Damit muss die Betroffeneneigenschaft eines Fahrers bereits durch entsprechend konkrete Anhaltspunkte begründet sein. Angesichts der durch die gesetzliche Regelung bereitgestellten Vielzahl von Mitteln ist in diesem Zusammenhang besonders der Verhältnismäßigkeitsgrundsatz zu beachten.”

Dieser Argumentation ist das BVerfG nun ausweislich Randziffer 12 nicht gefolgt:

“Das Oberlandesgericht geht zutreffend davon aus, dass bei einer Bildaufnahme, bei der Fahrer und Kennzeichen identifizierbar sind, ein Eingriff in das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Recht auf informationelle Selbstbestimmung vorliegt (vgl. BVerfG, Beschluss der 2. Kammer des Zweiten Senats vom 11. August 2009 – 2 BvR 941/08 -, NJW 2009, S. 3293 f.). Als Rechtsgrundlage hat es § 100h Abs. 1 Satz 1 Nr. 1 StPO in Verbindung mit § 46 Abs. 1 OWiG herangezogen und unter Berufung auf den Wortlaut ausgeführt, dass diese Eingriffsbefugnis Bildaufnahmen zur Erforschung des Sachverhalts sowie zu Ermittlungszwecken ermöglicht, ohne auf Observationszwecke beschränkt zu sein (ebenso OLG Rostock, Beschluss vom 1. März 2010 – 2 Ss [OWi] 6/10 I 19/10 -, juris; OLG Stuttgart, Beschluss vom 29. Januar 2010 – 4 Ss 1525/09 -, DAR 2010, S. 148 f.; Seitz, in: Göhler, OWiG, 15. Aufl. 2009, vor § 59, Rn. 143, 145a).

Entgegen der Ansicht des Beschwerdeführers, der mit einer Auffassung in der Rechtsprechung und in der Literatur eine Beschränkung dieser Befugnis auf die Anfertigung von Bildaufnahmen zu Observationszwecken befürwortet (vgl. OLG Düsseldorf, Beschluss vom 9. Februar 2010 – IV-3 RBs 8/10 -, DAR 2010, S. 213 ff.; Meyer-Goßner, StPO, 52. Aufl. 2009, § 100h, Rn. 1; Wolter, in: SK StPO, § 100h Rn. 4 [April 2009]), hat das Oberlandesgericht dadurch den Schutzbereich von Grundrechten nicht verkannt und ihr Gewicht auch nicht unrichtig eingeschätzt. Die Heranziehung dieser Rechtsgrundlage begegnet vielmehr keinen verfassungsrechtlichen Bedenken. Es handelt sich um eine Frage der Anwendung und Auslegung einfachen Rechts, die vom Bundesverfassungsgericht nicht zu überprüfen ist. Ein Verstoß gegen das Willkürverbot, der voraussetzen würde, dass diese Rechtsauffassung unter keinem rechtlichen Aspekt vertretbar wäre (vgl. BVerfG, Beschluss der 2. Kammer des Zweiten Senats vom 11. August 2009 – 2 BvR 941/08 -, NJW 2009, S. 3293 f.), ist nicht ersichtlich.”

Oder vereinfacht in der Pressemitteilung zusammengefasst:

“[§ 100h Abs. 1 Satz 1 Nr. 1 StPO] (…) erlaubt die Anfertigung von Bildaufnahmen ohne Wissen des Betroffenen, wenn die Erforschung des Sachverhalts auf andere Weise weniger Erfolg versprechend oder erschwert wäre. (…) Eine Bildaufnahme, bei der Fahrer und Kennzeichen seines Fahrzeugs identifizierbar sind, stellt zwar einen Eingriff in das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Recht auf informationelle Selbstbestimmung dar. Der Zweck derartiger Maßnahmen der Verkehrsüberwachung, nämlich die Aufrechterhaltung der Sicherheit des Straßenverkehrs, rechtfertigt jedoch eine Beschränkung der grundrechtlichen Freiheiten. Dabei ist zu berücksichtigen, dass es sich nicht um verdeckte Datenerhebungen handelt, sondern nur Vorgänge auf öffentlichen Straßen aufgezeichnet werden, die für Jedermann wahrnehmbar sind.”

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Update 24. August 2011

Nach einer entsprechenden Veröffentlichung der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein ist der datenschutzkonforme Einsatz des Facebook Like-Buttons in Frage gestellt worden. Mittlerweile wurde eine datenschutzkonforme Anpassungsmöglichkeit vorgestellt. Weitere Informationen finden Sie hier…

Was ist der Like-Button von Facebook?

Der so genannte “Like” (oder “Gefällt mir”) Button von Facebook kann von Webseiten-Betreibern auf der eigenen Webseite angebracht werden. Mit einem Klick auf diesen Button können bei Facebook registrierte Nutzer automatisch in Ihrem Facebook-Profil eine Notiz hinterlassen, dass Sie die verlinkten Inhalte des Webseiten-Betreibers gut heißen.

Der eingebundene Facebook Button „kommuniziert“ dabei laufend mit Facebook. So verändert sich beispielsweise die graphische Anzeige des Buttons, wenn ein Webseiten-Besucher zugleich in seinem Facebook-Account eingeloggt ist.

Unklar ist momentan insbesondere noch die Frage, ob der Facebook-Button auch personenbezogene Daten von Webseiten-Besuchern an Facebook übermittelt, die nicht Mitglieder bei Facebook sind.

Weitere Details zu den technischen Hintergründen finden sich hier.

Der Anlass: Hamburger Stadtportal verwendete Like-Button von Facebook

Die Stadt Hamburg hat innerhalb der letzten Wochen einen Like-Button mit Verlinkung zu Facebook auf ihrer Webpräsenz angebracht. Letzte Woche wurde dieser wieder entfernt. Auf dem Blog der Stadt Hamburg wird erläutert, dass momentan ein konstruktiver Dialog mit Facebook bestehe, um eine datenschutzrechtlich einwandfreie Lösung zur Verfügung stellen zu können. Zuvor hatte der Like-Button, wie auf der Webseite diskutiert wird, möglicherweise auch Daten von Nicht-Facebook-Nutzern gesammelt. Daher wurde der Button wieder entfernt – der Schutz der personenbezogenen Daten der Bürger und Bürgerinnen müsse Vorrang vor einer weiteren Vernetzung des Portals haben.

Facebook in der Kritik der Datenschützer

Facebook und die dort gesammelten Datenmengen stehen bereits seit längerem in der Kritik der Datenschützer. Zusätzlich zu den Datenmengen, die User dort freiwillig veröffentlichen, wird über eine ausgeklügelte Cookie- und Tracking-Technik mehr gesammelt, als viele User ahnen. Mit dem Like-Button kann Facebook Daten über die Vorlieben seiner Nutzer nicht nur auf der eigenen Webseite, sondern auch im ganzen Netz sammeln.

Welchen technischen Hintergrund hat der Like-Button von Facebook?

Das Integrieren des Facebook-Like-Buttons ist relativ einfach. Der Webseiten-Betreiber muss zur Anzeige des Facebook-Like-Buttons einen Programmcode von Facebook in seine Webseite einbinden. Klickt ein auf Facebook registrierter Nutzer auf den Like-Button einer Webseite, so wird dies direkt an den Facebook-Server übermittelt. Dort wird es zum Profil des Nutzers gespeichert. Die Information, welche Seiten „ge-like-t“ wurden, wird durch Übergabe der URL übermittelt.

Verarbeitung personenbezogener Daten

Bei den durch den Like-Button auf der Seite des jeweiligen Webseiten-Betreibers erhobenen Daten handelt es sich auch um personenbezogene Daten, da der Nutzer über die Verknüpfung mit seinem Facebook-Account eindeutig identifizierbar ist.

Bundesdatenschutzgesetz: Übermittlung von Daten nur mit Einwilligung oder rechtlicher Grundlage

Da Facebook und der Webseiten-Betreiber unterschiedliche Stellen sind und eine Privilegierung durch die Normen der Auftragsdatenverarbeitung (§ 11 BDSG – hier nur kurz: es fehlt jedenfalls an der Weisungsgebundenheit gegenüber Facebook) an dieser Stelle ausscheidet, liegt in der Eröffnung des Zugriffs eine Übermittlung von Daten im Sinne des Bundesdatenschutzgesetzes („BDSG“).

Nach dem System des BDSG dürfen personenbezogene Daten nur übermittelt werden, wenn der Nutzer gemäß § 4a BDSG eingewilligt hat, eine Rechtsgrundlage oder eine rechtliche Verpflichtung für die Übermittlung vorliegt. Es ist darauf hinzuweisen, dass eine Übermittlung ohne Einwilligung oder Rechtsgrundlage gemäß § 43 Abs. 2 Nr. 1 BDSG mit einem Bußgeld bis zu 300.000,- Euro belegt werden kann.

Einwilligung scheitert an Praktikabilität

Eine Einwilligung scheidet aus Gründen der Praktikabilität vorliegend aus (der Nutzer müsste sonst insbesondere noch anklicken, dass er einverstanden sei, dass seine Daten erhoben und an Facebook übermittelt werden). Eine Rechtsgrundlage für die Übermittlung kann jedoch möglicherweise in § 15 Abs. 1 TMG gesehen werden. Dieser lautet:

„Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“

Verarbeitung wegen Ermöglichung von Telediensten: rechtmäßig gemäß § 15 Abs. 1 TMG?

Damit kann der Webseiten-Betreiber personenbezogene Daten verarbeiten, um die Inanspruchnahme von Telemedien zu ermöglichen, soweit dies erforderlich ist. Die Verknüpfung auf Facebook über den Like-Button ist ein angebotener Teledienst im Sinne der Vorschrift. Damit der Like-Button benutzt werden kann, müssen die Daten an Facebook übermittelt werden. Dies kann als zwingend im Sinne der Vorschrift bewertet werden, wenn auch die Einbindung nach dem Willen des Telemedienbetreibers freiwillig erfolgt. Insofern kann dies als Rechtsgrundlage herangezogen werden.

Dagegen: Gebot der Datensparsamkeit

Wenn sich nach dem Wortlaut der Vorschrift eine Rechtsgrundlage für die Übermittlung sehen lässt, so muss jedoch nach dem Prinzip der Datensparsamkeit (§ 3a BDSG) daran gezweifelt werden, ob die Auslegung von § 15 Abs. 1 TMG insofern nicht zu weit geht. Denn selbst wenn die Rechtsgrundlage ausreichen mag für Webseiten-Besucher, die den Like-Button drücken und ausdrücklich die Verlinkung vornehmen, so kann dies nicht für die Nutzer gelten, die den Button nicht anklicken (ganz zu schweigen von den Webseiten-Besuchern, die nicht einmal bei Facebook registriert sind). Man kann die Datenerhebung durch Facebook daher durchaus als zu umfangreich verstehen – und insofern ablehnen.

Datenschutzbehörden haben sich bislang nicht geäußert

Die Datenschutzbehörden haben sich noch nicht zu diesem Sachverhalt geäußert, insofern bleibt abzuwarten, welche Auffassung diese vertreten werden.

Webseiten-Betreiber müssen Datenschutzerklärung anpassen

In jedem Fall muss bei Verwendung des Like-Buttons von Facebook die Datenschutzerklärung nach § 13 Abs. 1 TMG der Webseiten-Betreiber angepasst werden.

Inhaltlich muss erklärt werden, dass der Webseiten-Betreiber Facebook den Datenaustausch ermöglicht. Auch wenn der Nutzer den Facebook-Button erkennt, so mag diesem nicht klar sein, dass ein Datenaustausch tatsächlich stattfindet. Insbesondere mag der Einzelne, wenn er die Gefahr erkennt, glauben, dass eine Verknüpfung nur stattfinden kann, wenn er den Like-Button auch anklickt. Diesem ist aber nicht so. Die Verknüpfung findet bereits durch den von Facebook gesetzten Code in die Webseite statt.

Gemäß § 13 TMG muss damit über diese gesamten Umstände hingewiesen werden. Die Datenschutzerklärung muss in verständlicher Form gestaltet werden, sonst drohen Bußgelder nach § 16 TMG. Dieses Bußgeld droht jedem Webseiten-Betreiber, der den Like-Button von Facebook ohne Hinweis in seiner Datenschutzerklärung angebracht hat. Der Webseiten-Betreiber ist insoweit verantwortliche Stelle, auf den die Datenverarbeitung zurückzuführen ist.

Wie sind soziale Netzwerke in europarechtlicher Sicht zu bewerten?

Die Artikel 29 Datenschutzgruppe hat bereits im letzten Jahr in ihrer Meinung 5/2009 die sozialen Netzwerke zu größerer Sicherheit für die User und weniger Datenansammlungen aufgefordert.

Weitere Schritte werden wohl im Mai des nächsten Jahres erreicht sein müssen, wenn die Richtlinie 2009/136/EG („Cookie-Richtlinie“ – wir berichteten) in das deutsche Recht umgesetzt sein muss. Da ab diesem Zeitpunkt mehr mit aktiver Einwilligung in die Cookie-Platzierung gearbeitet werden muss, werden sich zwangsläufig auch für die sozialen Netzwerke sowie für deren Geschäftswege einige Veränderungen ergeben. Davon wäre auch die Verknüpfung über Like-Buttons betroffen.

Fazit

Der Like-Button kann von Webseiten-Betreibern eingesetzt werden, sofern angenommen wird, dass die Übermittlung der Daten an Facebook erforderlich ist, um die Verlinkung zu ermöglichen und insoweit § 15 Abs. 1 TMG als Rechtsgrundlage gewertet wird. In jedem Fall müssen die Datenschutzerklärungen der Webseiten-Betreiber auf den Facebook-Like-Button eingehen. Es ist zudem empfehlenswert, etwaige Stellungnahmen der Aufsichtsbehörden und Gerichtsentscheidungen zu beobachten. Tragen Sie sich hierzu einfach in unseren Newsletter ein.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Datenschutz-Artikeln

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Update am 15. September 2011

Die Hamburger Datenschutz-Aufsichtsbehörde hat sich mit Google auf eine datenschutzkonforme Einsatzmöglichtkeit von Google Analytics verständigt. Lesen Sie hier, was Webseitenbetreiber künftig beachten sollten.

Hintergrund

Die Datenschutz-Aufsichtsbehörden hatten Ende November einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit war in der Praxis von der Verwendung von Google Analytics (und ähnlicher Tools) in den meisten Fällen abzuraten (siehe hierzu auch unseren Beitrag).

Nun: Code-Zusatz „anonymize IP“

Google bietet den Webseiten-Betreibern seit neuestem die Möglichkeit, den Google Analytics Code um die Funktion „_anonymizeIp()“ zu erweitern (siehe Beschreibung hier). Mit Anbringung dieses Zusatz-Codes werden vor jeder weiteren Verarbeitung der anfragenden IP-Adresse die letzten 8 Bit gelöscht. Damit ist eine Identifizierung des Webseiten-Besucher ausgeschlossen. Eine grobe (datenschutzrechtlich zulässige) Lokalisierung bleibt möglich. Dieses Verfahren ist von den Datenschutz-Aufsichtsbehörden in Deutschland anerkannt und wird auch von anderen Webanalyse-Anbietern verwendet.

Wichtig: Datenschutzerklärung anpassen

Beim Einsatz von Google Analytics müssen Sie dies in Ihrer Datenschutzerklärung darstellen (vgl. Sie hierzu auch Ziffer 8.1 der Nutzungsbedingungen von Google Analytics). Hier können Sie sich informieren, was eine Datenschutzerklärung ist und wer sie anbringen muss.

Wir haben den Text von Google Analytics um einige Zeilen (rot markiert) erweitert. Für Vollständigkeit und Richtigkeit übernehmen wir keine Gewähr.

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden. Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen [mit http://tools.google.com/dlpage/gaoptout?hl=de verlinken] werden. Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen.“

Problem: Widerspruchsmöglichkeit

Ein datenschutzrechtlicher Aspekt beim Einsatz von Google Analytics bleibt uns erhalten. Die Datenschutz-Aufsichtsbehörden hatten in Ihrem Beschluss ebenfalls gefordert:

„Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.“

Branchenüblich ist eine Umsetzung dieser Widerspruchsmöglichkeit an sich mittels Cookies. Google bietet allerdings ein „Deaktivierungs-Add-on für Browser von Google Analytics“. Das Plug-in funktioniert laut Auskunft von Heise derzeit nur für Internet Explorer 7 und 8, Firefox 3.x sowie für Chrome. Opera-Nutzer und Safari-Anwender können der Nutzung mit dem Deaktivierungs-Add-on von Google nicht widersprechen. Allerdings könnten natürlich die Browser-Einstellungen manuell entsprechend angepasst werden. Anders als bei der Frage der IP-Adressen ist mir in dieser Frage noch keine Stellungnahme der Aufsichtsbehörden bekannt. Solange hier keine eindeutige Positionierung seitens der Aufsichtsbehörden vorgenommen wurde kann Google Analytics meines Erachtens unter diesem Vorbehalt wieder eingesetzt werden.

Was ist konkret zu tun? „3-Punkte-Katalog“

Wollen Sie Google-Analytics einsetzen müssen Sie folgendes tun:

1. Erweitern Sie den Tracking-Code von Google-Analytics in Ihrer Webseite um den Zusatz „_anonymizeIp()“ (siehe Beschreibung von Google).
2. Passen Sie die Datenschutzerklärung auf Ihrer Webseite an (siehe unser Beispiel oben im Text).
3. Verfolgen Sie die Diskussion der Aufsichtsbehörden um die Umsetzung der Widerspruchsmöglichkeit.

Update am 17. Juni 2010

Auf der Webseite von Herrn Struwe findet sich eine genaue Beschreibung, wie der Anonymisierungs-Code-Zusatz auch bei Verwendung des neuen, asynchronen Google-Analytics-Codes eingebaut werden kann.

Auf dem webalytics-Blog findet sich zudem eine genaue Anleitung, wie der Anonymisierungs-Code-Zusatz in den verschiedenen Code-Varianten eingebaut werden kann.

Update am 16. Januar 2011

Nachdem der Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit, Herr Professor Dr. Johannes Caspar, die Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics wieder aufgegriffen hatte und zu lesen war, dass er die Verhandlungen mit Google abgebrochen habe und Webseitenbetreiber mit Bußgeldern zu rechnen hätten, kann nun vorerst Entwarnung gegeben werden: Webseitenbetreibern, die Google Analytics (mit weiteren Anpassungen) einsetzen, drohen momentan keine aufsichtsrechtlichen Maßnahmen (z. B. Bußgelder) durch die Hamburger Datenschutz-Aufsichtsbehörde (Anm.: diese Entscheidung ist für Datenschutz-Aufsichtsbehörden in anderen Bundesländern nicht bindend). Weiterlesen…

IITR-Datenschutz-Codex erfüllt

Mit der Anpassung von Google Analytics hinsichtlich der Verarbeitung von IP-Adressen erfüllen Webseiten-Betreiber damit auch Punkt 8 des IITR-Datenschutz-Codex für Webseitenbetreiber:

„Der Webseitenbetreiber erklärt, keine Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ohne Einwilligung der Betroffenen durchzuführen.“

Newsletter

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht, insbesondere die weitere Diskussion um den Einsatz von Google Analytics.

Fazit

Es ist zu begrüßen, dass Google reagiert hat und Google Analytics in dem zentralen Punkt der IP-Adressen-Verarbeitung angepasst hat. Unter Beachtung unseres „3-Punkte-Katalogs“ können Webseiten-Anbieter Google Analytics nun wieder einsetzen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Diese Webseite wurde 2007 von Herrn Jens Ferner gegründet. Seit Dezember 2009 wird das Blog von Herrn Rechtsanwalt Dr. Sebastian Kraska weitergeführt.

“Erstmals lese ich, in einem Stern.de-Interview, eine direkte Reaktion auf die von mir gestellte Strafanzeige “gegen Google”, durch den Google-Chef:

Müssen Sie damit rechnen, wegen der unerlaubten Datenaufzeichnung in Deutschland angeklagt zu werden?

Schmidt: Ich hoffe nicht – kein Schaden, kein Foul. Wem wurde Schaden zugefügt? Nennen Sie mir diese Person!

Dieses Statement lehne ich ab. Ich muss sogar sagen: Ich bin schockiert.

Die Frage eines evt. strafrechtlichen Verhaltens lapidar mit “Wem wurde Schaden zugefügt” abzutun, wirft bei mir erhebliche Fragen auf, wie der zitierte “Google-Chef” zum Strafrecht insgesamt steht.

Es geht beim Vorwurf strafrechtlichen Verhaltens keinesfalls darum, ob ein Schaden verursacht wurde. Andernfalls wäre eine Versuchsstrafbarkeit gar nicht denkbar: Wer wird denn beim fehlgeschlagenen (und vielleicht nicht einmal bemerkten) Attentat geschädigt? Will man mit Eric Schmidt allen ernstes eine Strafbarkeit nur noch bei einem Schaden annehmen, man würde jegliche Versuchsstrafbarkeit und jegliches Handlungsdelikt (das gerade keinen Erfolg voraussetzt) aus dem Strafgesetzbuch streichen.
Dabei birgt der konzentrierte Blick auf den “individuellen Schaden” ein enormes Risiko: Nämlich dass man vergisst, dass unsere Gesellschaft insgesamt ein Bedürfnis nach Sicherheit hat. Zumindest nach der Sicherheit, dass Rechtsverstöße geahndet werden. Ob dabei vorliegend wirklich ein Rechtsbruch vorliegt, hat die Staatsanwaltschaft einzuschätzen und ein Gericht zu urteilen. Nur mit dem Blick auf den personalen Schaden aber lässt man das außen vor, was das Recht auch schützt: Die Gesellschaft samt ihrem Vertrauen in die Rechtsordnung insgesamt.

Wir leben in einer zunehmend digitalisierten Welt – wobei Unternehmen und Privatpersonen in gleichem Maße wenig Platz für persönliche Rückzugsräume lassen. Wir bewerten uns gegenseitig bei ebay, benoten unsere Mitmenschen bei Spickmich & Co., nutzen umfassende Rabattsysteme, lassen uns fotografieren und pflegen unsere Profile in sozialen Netzwerken. Das ist nicht zu verurteilen, das ist nichts, wovor man reflexartig Angst haben muss – solange diejenigen, die das machen, freiwillig agieren und im vollen Bewusstsein handeln, was sie tun. Der Datenschützer spricht hier von Freiwilligkeit und Informiertheit.

Bei Google gibt es kein Bewusstsein der Betroffenen, denn Google geht den letzten Schritt, schafft “die letzte Meile” und holt die Daten direkt selber zu Hause ab. Man muss nichts mehr tun, braucht nicht einmal Internet, und ist mit der Ansicht seines Hauses, seines Vorgartens, seiner WLAN-Kennung bei Google zumindest schon mal erfasst. Ganz am Anfang war es dabei nicht einmal möglich, brauchbar zu widersprechen – es war schon ein gefühlter Kraftakt, bis zumindest die Möglichkeit des Widerspruchs geschaffen wurde. Bestenfalls unschön ist es, dass man nur Häppchenweise erfährt, was überhaupt gesammelt wird – und so gut wie gar nicht, wozu.

Vor diesem Hintergrund fällt es mir dann auch nicht schwer, die Frage zu beantworten, wer denn einen Schaden davon getragen hat: Es ist einmal Google selbst. Diese Salami-Politik, mit der Scheibchenweise immer neue Details bekannt werden, ist eigentlich nur vom datenwütigen Staat bekannt. Doch ich sehe auch, dass durch dieses Verhalten letztlich das gesellschaftliche Klima insgesamt vergiftet werden kann. Geschädigt wird hierdurch nicht nur das Vertrauen in Google, es wird auch das Vertrauen in die Kommunikation in den eigenen vier Wänden in Mitleidenschaft gezogen. Dieser Vertrauensschutz ist übrigens – und hier schließt sich der Kreis – einer der Gründe, warum das Abfangen von Daten entsprechend der §§202a-202c StGB, §89 TKG unter Strafe gestellt ist. Unabhängig von der Frage, ob ein “messbarer Schaden” eingetreten ist. Denn Vertrauen kann man nicht messen: Man hat es oder nicht.”

Bedeutung von Cookies

Cookies sind heutzutage vor allem für die Werbewelt relevant. Sie sind nützlich um Daten über die Nutzung einzelner Webseiten und das Nutzverhalten im Allgemeinen zu sammeln. Insbesondere das Kaufverhalten der Nutzer kann basierend auf einer geschickten Cookiesetzung analysiert werden. Gerade deswegen sind auch diverse Verbraucherschutzgruppen sowie öffentliche Institutionen auf den Gebrauch von Cookies aufmerksam geworden.

Rechtliche Bewertung

Es wird durch den Änderungsbeschluss unter anderem ein neuer Art. 5 Absatz 3 in die bestehende Datenschutzrichtlinie für elektronische Kommunikation eingefügt:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet wird, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”

Was bedeutet „Speicherung von Informationen oder der Zugriff auf Informationen“?

Die neue oben zitierte Richtline spricht von „Speicherung von Informationen oder der Zugriff auf Informationen“. Damit ist maßgeblich, wie der deutsche Gesetzgeber den Begriff „Information“ auslegen wird. Denn die Speicherung personenbezogener Daten in Cookies bedarf bereits nach derzeit geltender Rechtlage einer datenschutzrechtlichen Erlaubnis (also beispielsweise einer Einwilligung oder einer datenschutzrechtlichen Gestattungsnorm). Setzt der deutsche Gesetzgeber die Begriffe „Information“ und „personenbezogene Daten“ gleich, wird sich daher nicht viel ändern. Folgt er aber der Intention der Richtlinie und fasst den Begriff „Information“ weiter, wird die Abspeicherung sämtlicher Cookie-Inhalte künftig grundsätzlich einwilligungsbedürftig.

Was kritisieren Datenschützer an der momentanen Cookiehandhabung?

Kritisiert wird vor allem, dass der Nutzer keinerlei Einfluss auf den Inhalt der Cookiedaten hat. Inhalt, Umfang, Sendezeit und Speicherungsdauer entziehen sich in der Regel seinem Wissen. Daneben kann der Webserver, der den Cookie setzen lässt, bestimmen, wer den Cookie später empfangen soll. Dies ist damit wiederum dem Einflussbereich des Nutzers entzogen.

Welche Gestaltungsmöglichkeiten würden künftig verbleiben?

Es bestünden verschiedene Möglichkeiten, wie den Forderungen der Richtlinie nach einer gesetzeskonformen Verwendung von Cookies entsprochen werden könnte. Exemplarisch seien drei Möglichkeiten genannt:

1. Einwilligung direkt bei Aufruf der Webseite: Beim Aufruf der Webseite erhält der Nutzer einen Link, der ihn direkt auf die Datenschutzerklärung der Seite verweist. In dieser Erklärung wird die Nutzung und Setzung der Cookies genau erläutert. Daneben wird erläutert werden, welche Browsereinstellungen der Nutzer vornehmen muss, damit keine Cookies gesetzt werden. Kehrt der Nutzer dennoch auf die Webseite zurück, so zeigt er sich als mit der Cookiesetzung einverstanden.
2. Einwilligung in Pop-Up-Fenster: Beim Aufruf der Webseite erscheint ein Popup Fenster, in diesem Fenster wird über die Setzung der Cookies informiert. In diesem Pop-Up-Fenster befindet sich eine Opt-out-Box (bereits gesetztes Häkchen, das der Nutzer entfernen kann), nach welcher der Nutzer die Setzung von Cookies ablehnen kann, indem er das bereits gesetzte Häkchen entfernt. Entfernt der Nutzer das Häkchen nicht und kehrt zur Webseite zurück, kann der Webseitenbetreiber seine Cookies setzen. Auch so wird im Sinne der Richtlinie die Einwilligung konkludent ausgedrückt.
3. Nach der Richtline soll es auch möglich sein, anhand der Browsereinstellungen eine generelle Einwilligung zu erteilen: „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ Damit ist zwar eine generalisierende Einwilligung über eine Browser-Einstellung denkbar. Allerdings genügen die Browser mit ihren derzeitigen Standardeinstellungen zur Cookieverwendung noch nicht diesen Anforderungen.

Ausnahme: Session-Cookies

Gemäß Satz 2 der neuen Vorschrift ist eine Einwilligung auch in Zukunft bei solchen Cookies entbehrlich, die technisch erforderlich sind, um den jeweiligen Dienst zu erbringen. Dies heißt, dass für das Setzen von Session-Cookies normalerweise auch in Zukunft keine spezifische Einwilligung eingeholt werden muss.

Wann kommt die neue Regelung?

Momentan müssen die Unternehmen ihre Webseiten noch nicht umgestalten. Die Richtline bindet zuerst nur die Mitgliedstaaten, welche die Richtlinie bis zum 25.5.2011 in nationales Recht umzusetzen haben. Auch der deutsche Gesetzgeber muss hier tätig werden. Es ist den Unternehmern jedoch klar zu empfehlen, sich über das Thema informiert zu halten.

Fazit

Die Verwendung von Cookies zu Werbezwecken ist ein in der Internetwirtschaft nahezu unverzichtbares Hilfsmittel geworden. Sollten hier künftig grundsätzlich Einwilligungen der Nutzer oder Anpassungen der Browsereinstellungen erforderlich sein, um Cookies datenschutzkonform zu verarbeiten, werden zahlreiche Anpassungen an Webseiten erforderlich sein. Es bleibt zu hoffen, dass der deutsche Gesetzgeber sich zunächst einmal um die Definition der Begriffe „Daten“ und „Information“ bemühen und darauf aufbauend eine Kompromisslösung entwickeln wird, damit der Schaden begrenzt bleibt. Das IITR wird sich mit den Begrifflichkeiten „Daten“ und „Information“ in einem gesonderten Artikel befassen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Newsletter:
Tragen Sie sich in den kostenlosen Newsletter des IITR ein und erhalten Sie künftig aktuelle Informationen zum betrieblichen Datenschutz.

Auf den Webseiten des Instituts für IT-Recht IITR können Sie den vollständigen Entwurf des “Gesetzes zur Regelung des Beschäftigtendatenschutzes” herunterladen.

• Zum Gesetzesentwurf auf der Webseite des IITR…

Update vom 9. Juni 2010
Laden Sie hier den Referentenentwurf des Bundesinnenministeriums vom 28.5.2010 herunter.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

• Pressemitteilung der Deutschen Telekom AG zum Datenschutzbericht 2009
• Datenschutzbericht 2009 der Deutschen Telekom AG als PDF Dokument
• Datenschutzbericht 2009 der Deutschen Telekom AG als e-paper

Besonders möchten wir den 10-Punkte Plan aus dem Datenschutzbericht 2009 (S. 7/8) hervorheben:

1. Verstärkter Schutz der Aufsichtsräte.

Die Aufsichtsräte werden durch ein neues “Konsultationsverfahren” stärker vor unberechtigten internen Ermittlungen geschützt. Das heißt: Zusätzlich zu den regelmäßig stattfindenden Rechtmäßigkeitsprüfungen muss der Vorstand das zuständige Aufsichtsratsgremium konsultieren, bevor er interne Prüfungen einleitet.

2. Schutz der Betriebsräte.

Zum Schutz der Betriebsräte hat de Deutsche Telekom einen ähnlichen Freigabeprozess wie für die Aufsichtsräte etabliert. Hier muss vor Beginn interner Ermittlungen der jeweilige Vorsitzende des Betriebsrats informiert werden. Ähnliches gilt für Mitglieder der Sprecherausschüsse, die die leitenden Angestellten vertreten.

3. Schutz von Medienvertretern.

Interne Ermittlungen gegen Medienvertreter sind grundsätzlich ausgeschlossen. Weil aber auch Journalisten – unabhängig von ihrer Berufsausübung – Delikte begehen können, ist ein absolutes Verbot von internen Ermittlungen gegen Medienvertreter nicht möglich. In einem konkreten Verdachtsfall müssen die Ermittlungen jedoch einvernehmlich durch den Vorstand Datenschutz, Recht und Compliance, Dr. Manfred Balz, und den Leiter der Unternehmenskommunikation, Philipp Schindera, freigegeben werden.

4. Gegenzeichnung des Vorstands Datenschutz, Recht und Compliance bei Beauftragung von externen Ermittlungsdienstleistungen.

Sollte in Einzelfällen die Beauftragung externer Ermittlungsdienstleistungen notwendig sein, erfolgt eine solche Beauftragung ausschließlich nach Prüfung und Gegenzeichnung durch den Vorstandsbereich Datenschutz, Recht und Compliance. Hierbei gilt das Vier-Augen-Prinzip, das prozessual in den Einkaufs-, Bestellungs- und Abrechnungssystemen der Deutschen Telekom verankert ist.

5. Schutz von Verkehrsdaten.

Das Telekommunikationsgesetz fordert die Wahrung des Fernmeldegeheimnisses. In strengen Ausnahmefällen erlaubt das Gesetz bei Anhaltspunkten auf Missbrauch, entsprechende Verkehrsdaten auszuwerten, um rechtswidrige Nutzungen des Telekommunikationsnetzes aufzudecken oder zu unterbinden. Bei der Deutschen Telekom wird sichergestellt, dass jeder Datenzugriff auf Verkehrsdaten in höchstmöglichem Maße gesetzes- und regelkonform erfolgt, streng kontrolliert wird und nachverfolgbar ist. Die für einen möglichen Datenzugriff auf Verkehrsdaten zuständigen Mitarbeiter wurden in Schulungen intensiv eingewiesen.

6. Einführung von Datenschutzpaten.

Jeweils ein technischer und ein rechtlicher Datenschutzexperte haben die Patenschaft für zentrale IT-Systeme bei der Deutschen Telekom übernommen. Zu den Aufgaben der sog. Datenschutzpaten zählen – ergänzend zu den regulären Beratungs- und Kontrollprozessen des Konzerndatenschutzes – unangekündigte Überprüfungen der IT-Systeme. Außerdem stehen sie den einzelnen Abteilungen als individuelle Ansprechpartner für Datenschutzfragen zur Verfügung.

7. Erhöhung der Kontrolldichte.

Beim Konzerndatenschutzbeauftragten Dr. Claus Dieter Ulmer wurde ein neuer, technisch ausgerichteter Fachbereich etabliert, der sich auf Kontrollen von Prozessen, IT-Systemen und Organisationseinheiten konzentriert und damit die vorhandene Konzerninfrastruktur um entsprechende Schutz- und Sicherheitsstandards erweitert. Der bereits bestehende mehrstufige Kontrollprozess wird damit um ein wichtiges Modul ergänzt.

8. Freigabe und laufende Begleitung von IT-Systemen.

Bei der datenschutzrechtlichen Freigabe von IT-Entwicklungen hat die Telekom einen verschärften Prozess etabliert. Die neu implementierte Beteiligungsrichtlinie konkretisiert die Anforderungen aus dem im Konzern Deutsche Telekom geltenden Privacy Code of Conduct (Schutz der Persönlichkeitsrechte im Umgang mit personenbezogenen Daten) und regelt die Prozesse einer frühzeitigen Beteiligung des Konzerndatenschutzes hinsichtlich einer datenschutzgerechten Entwicklung und eines datenschutzgerechten Betriebs von IT-Systemen, Prozessen und Geschäftsmodellen.

9. Implementierung von Datenschutz-Brückenköpfen.

In der Geschäftsleitungsebene sowie den IT-Abteilungen der strategischen Geschäftsfelder der Deutschen Telekom sind Ansprechpartner für das Thema Datenschutz benannt worden, die die Kommunikation mit dem Vorstandsbereich Datenschutz, Recht und Compliance, die Umsetzung der datenschutzrechtlichen Anforderungen sowie datenschutzgerechte Prozessabläufe sicherstellen.

10. Gründung des Datenschutzbeirats.

Im Februar 2009 gründete die Telekom einen Datenschutzbeirat als erstes Gremium seiner Art in Deutschland. Dieser berät den Vorstand der Deutschen Telekom in datenschutzrelevanten Themen. Zu seinen Mitgliedern zählen führende Datenschutzexperten und Persönlichkeiten aus Politik, Lehre, Wirtschaft und unabhängigen Organisationen. Diese wollen dazu beitragen, vorbildliche Datenschutzstandards im Unternehmen zu verwirklichen und Impulse für den gesamten Markt zu geben.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Datenschutzkonformer Einsatz von E-Mail-Marketing-Software

Marketingmaßnahmen per E-Mail sind eine kostengünstige Möglichkeit, die eigenen Produkte zu bewerben. Häufig wird von Unternehmen hierbei auf spezielle E-Mail-Marketing-Software zurück gegriffen, die sowohl die gesicherte Zustellung wie auch das spezifizierte Adressmanagement beherrscht. Hierbei sind zahlreiche rechtliche Vorgaben zu beachten. Der Video-Beitrag untersucht insbesondere die wettbewerbs- und datenschutzrechtlichen Aspekte beim Einsatz solcher Software.

Zum Video…

Über den Referenten Herrn Thorsten Ingeberg

Herr Ingeberg ist Diplom-Jurist (univ.) aus München und verantwortet als freiberuflicher Mitarbeiter des Instituts für IT-Recht IITR den Bereich Schulung, insbesondere die Aus- und Fortbildung von internen Datenschutzbeauftragten. Herr Ingeberg ist derzeit wissenschaftlicher Mitarbeiter von Herrn Professor Dr. Michael Hassemer am Lehrstuhl für Zivilrecht, Wirtschaftsrecht, Geistiges Eigentum an der Technischen Universität Kaiserslautern. Weitere Informationen…

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Informations-Videos und aktuelle Entwicklungen im Datenschutzrecht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

1. Outsourcing und Datenschutz

Hintergrund: Das BDSG privilegiert das Outsourcing nur dann, wenn eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vorliegt. Soweit das Outsourcing eine Funktionsübertragung darstellt, gelten die allgemeinen Vorschriften, insbesondere der § 28 BDSG.

Die zulässige Weitergabe von personenbezogenen Daten an einen selbständigen Dienstleister ist somit nur möglich, wenn das Outsourcing in den Vertrag mit dem Kunden einbezogen wird, der Kunde in die Datenweitergabe einwilligt oder der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG einschlägig ist.

In der Praxis ist damit häufig allein der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG die gangbare Lösung. Das dienstleistende Unternehmen muss dabei, ähnlich wie bei der Auftragsdatenverarbeitung nach § 11 BDSG, einzelvertraglich eng an das outsourcende Unternehmen angeschlossen werden.

Dabei ist zu beachten, dass der Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG per se nicht bei besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) einschlägig sein kann.

Diese Regelung entspricht nicht den Erfordernissen der Praxis. Zum einen wäre wünschenswert, auch für die Fälle der funktionsübertragenen Outsourcingmaßnahmen ein klar geregeltes Vertragskonzept ähnlich des § 11 BDSG zu schaffen, um nicht aus § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Verbindung mit § 11 BDSG und allgemeinen datenschutzrechtlichen Grundprinzipien ein für die Rechtsanwender auf den ersten Blick relativ komplexes Regelungsmodell zu schaffen. Zum anderen besteht gerade bei der Verarbeitung von besonderen Arten personenbezogener Daten (insbesondere Gesundheitsdaten) ein praktisches Bedürfnis, diese datenschutzkonform an selbständige Outsourcingpartner weiterzugeben.

Forderung: Es sollte ein zusätzlicher gesetzlicher Zulässigkeitstatbestand für funktionsübertragende Outsourcingmaßnahmen aufgenommen werden, der sich auch auf die besonderen Arten personenbezogener Daten bezieht.

2. Der Missbrauch der Einwilligungserklärung

Hintergrund: In manchen Bereichen unseres Wirtschaftslebens reichen die allgemeinen gesetzlichen Erlaubnistatbestände, insbesondere der § 28 BDSG nicht aus, um eine den berechtigten Interessen der Unternehmen entsprechende und auch erforderliche Verwendung der Kundendaten zu ermöglichen. Dies gilt vor allem für die Versicherungswirtschaft.

Die ersatzweise eingeholten Einwilligungen der Versicherungsnehmer entsprechen nicht dem § 4 a BDSG. Sie beruhen nicht auf einer freien Entscheidung der Versicherungsnehmer und sind deshalb an sich nicht wirksam.

Forderung: An die Stelle dieser unwirksamen Einwilligungen müssen gesetzliche Regelungen für die Erhebungen und Verwendungen der Versichertendaten durch die Versicherungsunternehmen treten.

Der Inhalt dieser Regelungen muss sich an dem informationellen Selbstbestimmungsrecht der Versicherungsnehmer und an den berechtigten Interessen der Versicherungsunternehmen orientieren.

3. Beschäftigtendatenschutz

Hintergrund: Der Beschäftigtendatenschutz ist bislang durch den kürzlich neu geschaffenen § 32 BDSG nur in Teilen gesetzlich geregelt. Durch die neu geschaffene Vorschrift sind in der Praxis viele offene Fragen entstanden – insbesondere in der Abgrenzung von § 32 BDSG zu § 28 BDSG und der Auslegung insbesondere des Begriffs der Erforderlichkeit in § 32 Abs. 1 Satz 1 BDSG.

Auch fehlen Anhaltspunkte dafür, wie die Interessen der Beteiligten (Arbeitgeber und Arbeitnehmer) praxisgerecht gegeneinander abzuwägen sind.

Forderung: Die bereits von der Politik aufgegriffene Forderung nach einer Neuregelung des Beschäftigtendatenschutzes ist zu begrüßen. Es sollte versucht werden die Regelungen dahingehend zu schärfen, dass Arbeitnehmern wie Arbeitgebern klare gesetzliche Grundlagen an die Hand gegeben werden, welche Maßnahmen datenschutzkonform darstellbar sind, um Auslegungsschwierigkeiten (bspws. hinsichtlich der Frage, ob das Outsourcing von Beschäftigtendaten „erforderlich“ ist) zu mindern.

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Bisher gelten für den Arbeitnehmerdatenschutz neben den Regeln des Arbeitsrechts und des Bürgerlichen Gesetzbuches die allgemeinen Datenschutzvorschriften des Bundesdatenschutzgesetzes („BDSG“) und der einzelnen Landesdatenschutzgesetze. Daneben gelten besondere kollektiv-arbeitsrechtliche Gesetze (BetrVG, BPersVG) sowie die einzelnen Sozialgesetzbücher. Daneben existieren auf internationaler Ebene weitere Standards, die vom Europarat und der International Labour Organisation festgelegt wurden und Einfluß auf den Arbeitnehmerdatenschutz im Inland haben.

Erster Schritt: BDSG-Novellierung zum 1.9.2009

Bereits durch die BDSG Novellierung zum 01.09.2009 wurden mit § 32 BDSG einige grundlegenden Regelungen zum Arbeitnehmerdatenschutz in das BDSG eingefügt. Diese Einfügung kann aber noch nicht alle offenen Fragen in diesem Bereich klären. Ein weiterer Gesetzentwurf war damit nötig. Insbesondere steht bislang im Zentrum der Kritik, dass datenschutzrechtliche Verbote durch eine Einwilligung des Betroffenen umgangen werden können. Daneben mangelt es bislang an transparenten Kontrollmöglichkeiten in diesem Bereich. Doch Arbeitgeber müssen klare Vorgaben erhalten, wie sie betriebliche Interessen auf legalem Wege schützen können.

Daneben steht im Fokus der Neuregelungen nicht nur die Frage, wie die Daten der Betroffenen am besten zu schützen sind, vielmehr müssen auch berechtigte Unternehmensinteressen sichergestellt werden. Der Datenschutz und die Entfaltung der Geschäftszwecke der Unternehmen sollen nebeneinander bestehen.

Besonderes Verhältnis zwischen Arbeitgeber und Arbeitnehmer

Zwischen Arbeitgeber und Arbeitnehmer besteht ein Beziehungsgeflecht, das gerade auf einer umfangreichen gegenseitigen Information beruht. Der Arbeitnehmer befindet sich dabei jedoch in einer ökonomisch bedingten Abhängigkeit, so dass ein ungleiches Stärkeverhältnis besteht. Der Arbeitnehmer wird gerade in diesem Bereich auch in seinem Persönlichkeitsrecht betroffen, so dass ein besonderer Schutzbedarf besteht.

Die Veröffentlichung des Innenministeriums erfasst die folgenden Punkte:

Regelung des Fragerechts des Arbeitgebers

Das Fragerecht des Arbeitgebers soll nun gesetzlich geregelt werden. Bereits bisher wurden gewisse Fragen etwa bei Bewerbungsgesprächen von der Rechtsprechung als unzulässig eingestuft (so die Frage nach Schwangerschaft, Mitgliedschaft in der Gewerkschaft, sexuellen Veranlagungen und persönlichen Beziehungen), so dass es einem Bewerber nicht zur Last gelegt werden durfte, wenn er auf einzelne Fragen nicht korrekt antwortete („Recht zur Lüge“). Nach dem geplanten Gesetz soll diese Rechtsprechung nun eine gesetzliche Grundlage erhalten.

Regelung zum Umfang gesundheitlicher Untersuchungen

Gesundheitliche Überprüfungen sollen nach dem neuen Gesetz nur noch dann erlaubt sein, wenn sie für die Eignungsfeststellung für eine konkrete Tätigkeit unerlässlich sind. Dem Arbeitgeber darf nach der Untersuchung nur mitgeteilt werden, ob eine Tauglichkeit vorliegt oder nicht, die Diagnose des Arztes darf dieser nicht erfahren.

Korruptionsbekämpfung – Compliance

Daneben sollen Arbeitgeber dazu ermächtigt sein, ihre Beschäftigtendaten zu verwenden um Vertragsverletzungen, Ordnungswidrigkeiten oder Straftaten im Betrieb aufzudecken. Zusätzliche Daten dürfen nur erhoben werden, soweit ein konkreter Verdacht besteht.

Zulässigkeit der Videoüberwachung?

Nach den Eckpunkten soll eine Videoüberwachung am Arbeitsplatz in nicht-öffentlich zugänglichen Bereichen nur dann zulässig sein, soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich und verhältnismäßig ist. Eine heimliche Videoüberwachung darf nur zugelassen werden, wenn ein konkreter Verdachtsfall vorliegt.

Werden Ortungssysteme zulässig sein?

Die Erhebung von Beschäftigungsdaten via GPS oder anderer Ortungssysteme soll nur während Arbeit- und Bereitschaftszeiten zugelassen sein. Dies muss zudem der Sicherheit der Beschäftigten oder dem Einsatz der Beschäftigten dienen und auch im Übrigen verhältnismäßig sein.

Biometrische Verfahren

Biometrische Verfahren sollen nach der angestrebten Gesetzgebung nur zu Autorisierung- und Authentifikationszwecken zulässig sein. Wiederum darf auch in diesen Fällen die Anwendung der Verfahren nicht schutzwürdigen Belangen der Betroffenen widersprechen.

Überprüfung der betrieblichen Nutzung von Telefon, E-Mail und Internet wird gestattet

Soweit die schutzwürdigen Interessen der Betroffenen ausreichend beachtet werden, soll eine Kontrolle dieser Kommunikationsmittel zulässig sein. Telefonate werden im Eckpunktepapier insoweit als am meisten schutzwürdig erachtet und dürfen nur nach einer weiteren Abwägung abgehört werden.

Kollektiv-rechtliche Vereinbarung auch nach dem neuen Gesetz zulässig

Kollektiv-rechtliche Vereinbarungen, die von den neuen, dispositiven (also „abdingbaren“) Vorschriften abweichen, sollen nach dem neuen Gesetz nach wie vor zulässig sind. Natürlich kann sich eine Einschränkung nur ergeben soweit die Betriebsvereinbarung mit arbeitsrechtlichen Grundsätzen und dem Grundgesetz im Einklang steht.

Generell: keine individualvertragliche Einwilligung mehr möglich

Eine individualvertragliche Einwilligung von Arbeitnehmern ist nach dem geplanten Gesetz nur noch in Ausnahmefällen vorgesehen. Diese Änderung ist zu begrüßen, da eine Umgehung der gesetzlichen Vorschriften jedenfalls so nicht mehr ausgehebelt werden kann. Wie bereits angesprochen muss im Arbeitsrecht beachtet werden, dass der Arbeitgeber sich in einer Machtposition gegenüber dem Arbeitnehmer befindet. Dieser ist damit regelmäßig leicht zur Abgabe entsprechender Erklärungen zu bewegen.

Datenspeicherung nach Ausscheiden aus dem Arbeitsverhältnis

Scheidet ein Arbeitnehmer aus dem Beschäftigungsverhältnis aus, so darf der Arbeitgeber für die Erfüllung seiner buchhalterischen und steuerlichen Pflichten die Daten weiterhin speichern. Entfällt ein solcher Grund sind die Daten zu löschen.

Keine Regelung zum Outsourcing von Personaldaten

Bislang fehlt insbesondere eine spezielle Regelung zur Verarbeitung von Arbeitnehmerdaten durch Dienstleistungsunternehmen. Gerade hier wäre eine genaue Regelung wünschenswert, da im Personalbereich häufig Aufgaben ausgelagert werden. Nach der aktuellen juristischen Diskussion um § 32 BDSG wird momentan von einigen Aufsichtsbehörden angezweifelt, ob nach der Struktur dieser Norm ein Outsourcing von Personaldaten überhaupt noch möglich ist. Es ist damit bedauerlich, dass das Eckpunktepapier hierzu keine Stellung nimmt. Es bleibt zu hoffen, dass der Gesetzesentwurf eine Regelung und Klarstellung in diesem Zusammenhang bereithält.

Fazit

Aus Gründen der Rechtssicherheit ist es grundsätzlich sinnvoll, den Arbeitnehmerdatenschutz umfassender als bisher gesetzlich zu regeln. Es wäre wünschenswert, wenn der Entwurf auch die aktuelle Diskussion um das Outsourcing von Personaldaten aufgreifen würde. Der Gesetzesentwurf des Bundesinnenministeriums wird derzeit intern abgestimmt und soll noch vor der Sommerpause dem Kabinett zur Beschlussfassung vorgelegt werden.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Wie funktioniert internationaler Datenschutz?

In grenzüberschreitend tätigen Konzernen und Unternehmen gehört der internationale Datentransfer (insbesondere von Arbeitnehmer- und Kundendaten) zum alltäglichen Geschäft. Der Video-Beitrag gibt einen ersten Überblick der hierbei zu beachtenden datenschutzrechtlichen Vorgaben und erläutert was beachtet werden muss, sobald Daten ins Ausland übermittelt werden sollen.

Zum Video…

Information bei neuen Datenschutz-Informations-Videos

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Informations-Videos und aktuelle Entwicklungen im Datenschutzrecht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Kraska: Herr Schmidl, das Bundesinnenministerium arbeitet derzeit an einer Neuregelung des Arbeitnehmerdatenschutzes. Erst im September letzten Jahres waren neue Vorschriften im Arbeitnehmerdatenschutz in Kraft getreten. Warum gibt es schon wieder Änderungen?

Schmidl: Mit den Änderungen im vergangenen Herbst ist lediglich § 32 BDSG in das Gesetz aufgenommen worden, der nach Maßgabe der Gesetzesbegründung keine Neuerungen schaffen, sondern nur bisherige Grundsätze zusammenfassen sollte. § 32 BDSG regelt in sehr allgemeiner Form die Erhebung, Verarbeitung und Nutzung von Daten, die „für Zwecke des Beschäftigungsverhältnisses“ erforderlich ist. Ungeachtet dieser Aussage des Gesetzgebers begannen einige Aufsichtsbehörden unmittelbar nach Inkrafttreten von § 32 BDSG damit, vor dem 1. September 2009 als zulässig etablierte Vorgänge in den Unternehmen in Zweifel zu ziehen. Häufig wurde dies mit Zweifeln daran begründet, ob und in welchem Umfang neben § 32 BDSG noch andere Erlaubnistatbestände eingreifen können.

Kraska: Warum muss der Arbeitnehmerdatenschutz denn überhaupt in eigenen Vorschriften geregelt werden?

Schmidl: Dies entspricht der seit Jahren bestehenden Forderung, dass von der Datenverarbeitung besonders betroffene Bereiche in spezialgesetzlichen Normen geregelt werden sollten, um den Besonderheiten des jeweiligen Bereichs Rechnung tragen zu können. Auch wenn es gerade im Lichte der bevorstehenden Schaffung neuer Regelungen zum Arbeitnehmerdatenschutz ein leichtes wäre, dieser Argumentation beizupflichten, möchte ich betonen, dass auch das allgemeine Datenschutzrecht in der durch Rechtsprechung und Vorgaben der Aufsichtsbehörden konkretisierten Form bisher in der Lage gewesen ist, einen angemessenen Arbeitnehmerdatenschutz zu erreichen. Die für die Begründung der Erforderlichkeit spezieller Regelungen zitierten „Datenschutzskandale“, können nicht oder zumindest nicht ausschließlich mit den aus dem allgemeinen Datenschutzrecht resultierenden Unklarheiten begründet werden. Die Mehrheit der in der Öffentlichkeit diskutierten Fälle war auch nach dem durch Vorgaben von Rechtsprechung und Verwaltung konkretisierten allgemeinen Datenschutzrecht unzulässig.

Kraska: Warum hat sich der Gesetzgeber bislang so schwer getan, Regelungen in diesem Bereich zu fassen – und warum mussten letztlich erst Rechtsprechung und Aufsichtsbehörden durch eine konkretisierende verfassungskonforme Auslegung des Arbeitnehmerdatenschutzes einspringen?

Schmidl: Die Schaffung von Spezialregelungen zum Arbeitnehmerdatenschutz muss auch den Schutz berechtigter Unternehmensinteressen sicherstellen. Es ist rechtlich schwierig und politisch kontrovers, sich an dieser Aufgabe zu versuchen. Dies scheint mir der Grund für den langwierigen Prozess. Deutlich wird dies bereits im Zusammenhang mit der Verhandlung einer Betriebsvereinbarung, wenn es um die Konkretisierung der berechtigten Interessen des Arbeitgebers einerseits und seiner Mitarbeiter andererseits lediglich für einen bestimmten Betrieb geht. Auch wenn sich die Betriebsparteien auf abstrakter Ebene einig sind, dass Datenschutz im Unternehmen nicht dazu führen darf, dass das Unternehmen seine Geschäftszwecke nicht mehr erreichen kann, so gehen die Meinungen in aller Regel erheblich auseinander, wenn es um die Frage geht, wie viel Datenschutz zuviel Datenschutz ist. Das Unterfangen, ein Gesetz zu schaffen, dass diese Interessenskollision mit allgemeingültigen Entscheidungen auflöst, ist daher eine äußerst komplexe Herausforderung, die vor allem politische Grundsatzentscheidungen erforderlich macht.

Kraska: Nun ist ja vom Bundesinnenministerium ein Eckpunkte-Papier zur Neuregelung des Arbeitnehmerdatenschutzes veröffentlich worden. Was erwartet uns in dem Bereich?

Schmidl: Soweit veröffentlicht sind dies gemäß des Eckpunkte-Papiers verkürzt folgende Punkte:

1. Das Fragerecht des Arbeitgebers im Einstellungsverfahren soll gesetzlich geregelt werden.
2. Gesundheitliche Untersuchungen oder Prüfungen sollen nur zulässig sein, wenn sie erforderlich sind.
3. Die Korruptionsbekämpfung und die Durchsetzung von Compliance-Anforderungen sollen aufgrund klarer gesetzlicher Grundlagen erfolgen können.
4. Ganz allgemein soll die Videoüberwachung von nicht öffentlich zugänglichen Betriebsstätten nur zulässig sein, soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich und verhältnismäßig ist.
5. Die Erhebung von Beschäftigtendaten durch Ortungssysteme soll nur während der Arbeits- und Bereitschaftszeiten zur Sicherheit des Beschäftigten oder zur Koordinierung des Einsatzes des Beschäftigten zugelassen werden.
6. Biometrische Merkmale eines Beschäftigten soll der Arbeitgeber elektronisch nur erheben und verwenden dürfen, soweit dies aus betrieblichen Gründen zu Autorisierungs- und Authentifikationszwecken erforderlich ist.
7. Der Arbeitgeber soll – insbesondere zur Gewährleistung des ordnungsgemäßen technischen Betriebs, zu Abrechnungszwecken sowie zu Zwecken der Korruptionsbekämpfung/Compliance – die Nutzung von Telekommunikationsdiensten und Telemedien am Arbeitsplatz im erforderlichen Maß kontrollieren dürfen.
8. In Betriebs-/Dienstvereinbarungen oder Tarifverträgen sollen wie bisher eigenständige Grundlagen und Einschränkungen für eine zulässige Datenerhebung und -verwendung im Beschäftigungsverhältnis vorgesehen werden können.
9. Die Zulässigkeit der individuellen Einwilligung des Beschäftigten in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten soll auf ausdrücklich geregelte Fälle beschränkt werden,
10. Der Arbeitgeber darf Beschäftigtendaten auch erheben, verarbeiten und nutzen soweit deren Kenntnis erforderlich ist, um nach der Beendigung des Beschäftigungsverhältnisses bestehende Pflichten – etwa buchhalterische oder steuerliche Nachweiszwecke – zu erfüllen.

Kraska: Wie beurteilen Sie diese Pläne?

Schmidl: Grundsätzlich sind die veröffentlichten Eckpunkte zu begrüßen. Es bleibt aber abzuwarten, wie die konkreten Regelungen ausfallen werden. Es wäre aus meiner Sicht zudem wünschenswert gewesen, auch die Fragen der Einschaltung von Auftragsdatenverarbeitung im Bereich der Verwaltung von Personaldaten explizit zu regeln und eine Erleichterung beim Austausch von Arbeitnehmerdaten im Konzern zu schaffen. Denn gerade im Konzern führt das Datenschutzrecht häufig zu komplexen Rechtsfragen und die Durchsetzung berechtigter Konzerninteressen ist nicht immer ohne rechtliche Risiken möglich.

Kraska: Gerade das Outsourcing von Personaldaten ist ja mit Einführung des § 32 BDSG in die Diskussion geraten. Was war der Hintergrund?

Schmidl:  Einige Aufsichtsbehörden vertreten die Auffassung, dass eine Auslagerung von Personaldaten auf Grundlage von § 32 BDSG nicht mehr möglich, zumindest aber rechtlich zweifelhaft sei und auch ein Rückgriff auf andere datenschutzrechtliche Erlaubnistatbestände ausscheide. Für die Praxis hätte dies gravierende Folgen.

Kraska: Was ist der aktuelle Sachstand?

Schmidl: Derzeit tauschen sich die verschiedenen Aufsichtsbehörden der Länder in diesem Punkt aus. Man kann nur hoffen, dass hier eine praxisgerechte Lösung gefunden wird.

Kraska: Vielen Dank für das Gespräch.

Kontakt zu Dr. Michael Schmidl, LL.M. Eur. (Rechtsanwalt/Maître en Droit) Weiterführender Artikel: Schmidl, Arbeitnehmerdatenschutz vor der Reform – Fehlanzeige? Treffen Sie Herrn Schmidl als Referenten auf dem 11. Datenschutzkongress 2010 in Berlin Das Interview führte RA Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Man sollte diese Pflichten kennen.

Wir veröffentlichen solche Artikel, weil wir wissen, dass wir damit dem Anliegen des Datenschutzes helfen.

Wir wurden gefragt, warum wir nun Videos produzieren und kostenlos verfügbar machen, warum wir Checklisten entwickeln, mit denen die Abklärung von datenschutzrelevanten Fragen erleichtern werden kann.

Wir erkennen anhand der Zugriffszahlen, dass unsere Unterstützung angenommen wird.

Bleibt die Frage, warum wir dies machen.

Wir sind davon überzeugt, dass Datenschutz eine gesellschaftliche Relevanz hat.

Vielleicht wäre es auch ausreichend, Briefe zu schreiben. Jedoch haben wir es bei Facebook mit einem Privat-Unternehmen zu tun, dem man seine persönlichen Daten aus freien Stücken anvertraut. Sowas ist nicht unproblematisch, aber es wäre leicht zu ändern.

Das Datennetz hingegen, welches der Staat seit Jahren über uns wirft, kann nur noch unter Zuhilfenahme höchster Gerichte für eine freie Gesellschaft halbwegs erträglichen gehalten werden.

Der Staat kennt niemanden, den man medienwirksam in einem Schreiben zur Mäßigung auffordern, andernfalls mit Austritt oder Kündigung bedrohen könnte.

Datenschutz hat gesellschaftliche Relevanz. Wie gut, dass kürzlich der EuGH die Datenschutz-Aufsichtsbehörden der Länder von politischen Weisungen freigestellt hat.

Autor:
Eckehard Kraska

Auf dieser Seite ist viel geschehen, und Weiteres ist im Fluss.

Die Gesellschaft beginnt zu verstehen: Datenschutz ist der zentrale Baustein einer freien Gesellschaft. Die Hoheit des Bürgers über seine Daten entscheidet darüber, ob er sich auch zukünftig noch als halbwegs eigenbestimmtes Wesen empfindet, oder ob er sich fremden, diffusen Kräften ausgesetzt wähnt, die alles über ihn gesammelt haben, alles mögliche über ihn wissen, ihn verplanen, in ihre Interessen einfügen, ihm damit sein Selbstbestimmungsrecht entwinden.

So langsam wacht der Bürger auf.

Wie sieht es mit der Umsetzung des Datenschutzes aus? Zunächst die behördliche Ebene: diesbezügliche Entscheidungen zu Klagen stehen noch aus. Beispiel ELENA. Auch weiterhin werden die Parlamente, wird die tagtägliche Behörden-Praxis ihre Forderungen nach Planungsgrundlagen verteidigen, schließlich ist dies ihre wichtigste Existenzgrundlage.

Wie wichtig es sein wird, dass der EuGH in seinem letzten Urteil die Datenschutz-Aufsichtsbehörden von jeglicher politischen Weisung und Einflussnahme abgekoppelt hat, wird sich noch erweisen. Nur noch das Gesetz sowie das persönliche Standing der Leiter von Datenschutz-Aufsichtsbehörden wird dafür entscheidend sein, welche Geltung der Datenschutz erhält.

Bleibt noch der letzte Beteiligte in diesem Spiel: die Wirtschaft.

Datenschutz erfordert Mittel, ist damit ein Kostenposten. Davon haben wir in Deutschland bereits mehr als genug. Kein Wunder also, dass die Wirtschaft in einer zumal wirtschaftlich schwierigen Zeit nur widerwillig an das Thema herangeht, sich nur zögerlich an die Umsetzung des Datenschutzes begibt.

Und dabei auch noch zu untauglichen Mitteln greift.

Es langt nicht, irgendjemanden aus seinem Betrieb auszudeuten und ihn zum internen Datenschutzbeauftragten ernennen zu wollen, ohne dass dieser über die dazu notwendigen Kenntnisse verfügt. Nicht nur, weil er dadurch in dieser Funktion eine Unkündbarkeit erlangt, sondern beispielsweise auch, weil der Beauftragte damit Verpflichtungen eingeht, die er in der Regel kaum erfüllen kann.

Unter anderem deshalb haben wir uns entschlossen, ein Checklistensystem zu entwickeln und kostenlos zur Verfügung zu stellen, damit wenigstens die elementarsten Fragen des Datenschutzes von jenen Mitarbeitern abgearbeitet werden können, die dort ins kalte Wasser geschmissen wurden. Oder sich ins kalte Wasser haben werfen lassen.

Denn klar ist: Verstöße gegen den Datenschutz können sehr teuer werden. Die ledigliche „pro-forma“ Benennung eines treuen Mitarbeiters zum Datenschutzbeauftragten ist nicht die Lösung, die Belange des Datenschutzes sicherstellen zu können.

Es wird auf die jeweiligen Leitungen der Datenschutz-Aufsichtsbehörden der Länder ankommen, wie gut sie ihrer nun erreichten Sonderstellung gerecht werden, und dabei allen Belangen gerecht zu werden.

Wir stehen erst ganz am Anfang. Immerhin: ein Anfang ist gemacht.

Autor:
Eckehard Kraska

Was ist eine Gemeinschaftspraxis?

Ärzte schließen sich gerne zu Gemeinschaftspraxen zusammen. Dies hat wirtschaftliche Vorteile, da in Bezug auf Personal und Räumlichkeiten effizienter gearbeitet werden kann. Daneben kann auch hinsichtlich der Patienten immer wieder ein fachlicher Austausch stattfinden. Ein Patient, der eine Praxisgemeinschaft aufsucht, schließt auf der zivilrechtlichen Ebene mit allen Ärzten, die in dieser Gemeinschaft assoziiert sind, einen einheitlichen Behandlungsvertrag ab. Da die Ärzte sich auf dieser Grundlage einen gemeinsamen Patientenstamm schaffen, ist dieser Vorgang datenschutzrechtlich relevant, denn jeder Arzt kann auf den gemeinsam angelegten Patientenstamm zugreifen.

Welche datenschutzrechtlichen Regelungen finden Anwendung?

Das Datenschutzrecht ist im Medizinbereich sehr komplex. Es finden verschiedene Gesetze sowie eine Vielzahl teilweise konkurrierender Regelungen Anwendung. Wie dargestellt gilt grundsätzlich das BDSG. Daneben finden neben landesrechtlichen Regelungen unter anderem auch das Sozialgesetzbuch sowie die ärztlichen Berufsordnungen der jeweiligen Ärztekammer Anwendung.

Patientengeheimnis und Dokumentationspflicht des Arztes

Nach der Datenerhebung und der Anlegung der Patientenakte ist der Arzt im zivilrechtlichen Sinn Eigentümer der Patientenunterlagen. Nach der ärztlichen Berufsordnung trifft ihn neben der Dokumentationspflicht zusätzlich eine Aufbewahrungspflicht für mehrere Jahre. Gemäß § 28 BDSG ist der Arzt dazu ermächtigt, Patientendaten zu speichern. So erfolgt während des ärztlichen Behandlungsvertrages das Speichern, Verändern oder Übermitteln im Rahmen des Vertragsverhältnisses.

Für die Wahrung der Datenschutzrechte ist stets die verantwortliche Stelle gemäß § 3 Abs. 7 BDSG entscheidend

Die für die Datenverarbeitung verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG ist stets derjenige, der die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Dies ist in einer 1-Personen-Praxis der behandelnde Arzt selbst und in einer Gemeinschaftspraxis die Gemeinschaftspraxis an sich und nicht der jeweilige einzelne Arzt, der die Daten ursprünglich in das System eingegeben hat.

Besonderheit: Hausarztmodell

Bei der Verarbeitung personenbezogener Patientendaten im Rahmen des so genannten Hausarztmodells gelten hinsichtlich der Datenspeicherung und des zentralisierten Datenzugriffs einige abweichende Vorgaben. Weitere Informationen zu diesem speziellen Thema finden Sie hier.

Besonderheit: elektronische Gesundheitskarte

Auch bezüglich der zentralisierten Zusammenführung von Patientendaten insbesondere im Zuge der Einführung der elektronischen Gesundheitskarte (vgl. insoweit § 291a SGB V) sind insoweit Besonderheiten zu beachten, als dass der Rückgriff auf lokal in der Arztpraxis gespeicherte Patientendaten zunehmend in der Hintergrund rücken dürfte.

Was geschieht, wenn sich die Gemeinschaftspraxis auflöst?

Betrachtet man die Interessenlage der betroffenen Ärzte, so hätte sicherlich jeder von diesen allein aufgrund wirtschaftlicher Bedingungen ein Interesse daran, den gesamten lokal gespeicherten Patientenstamm zu behalten. Dies dürfte in den meisten Fällen jedoch den Grundsätzen der Zweckbindung (§ 39 BDSG) und der Datensparsamkeit (§ 3a BDSG) widersprechen. Daneben liegt auch ein Verstoß gegen das Erforderlichkeitsprinzip des § 28 Abs. 1 BDSG nahe, der auf das Arzt-Patienten-Verhältnis regelmäßig Anwendung findet. Eine einfache Weitergabe des kompletten Datenbestandes an alle ausscheidenden Ärzte („Vervielfachung der Datenbestände“) scheidet damit im Regelfall aus.

Zu empfehlen: Trennung der Datenbestände

Grundsätzlich empfiehlt es sich daher, bereits vom Beginn der Gemeinschaftspraxis an die lokal gespeicherten Patientendatenbestände nach Ärztezugehörigkeit zu trennen. Mit einem modernen EDV-System stellt es kein großes Problem dar, von Beginn an die Zuordnung eines Patienten zu einem behandelnden Arzt herzustellen. Dann ist auch nach der Auflösung einer Praxis klar geregelt, welchem Arzt die einzelnen Patientendaten zuzuordnen sind. Scheidet dieser aus der Praxis aus sind nach der Übergabe „seiner“ Patientendaten diese Daten aus dem allgemeinen Praxissystem zu löschen.

Was ist wenn eine Zuordnung zu einem Arzt nicht erfolgt ist?

Probleme können entstehen, wenn eine Zuordnung der Patienten zu dem jeweiligen behandelnden Arzt unterlassen wurde. Zivilrechtlich dürfte dieser jedenfalls einen Anspruch auf die Herausgabe der Daten der Patienten haben, die ihm aus der Gemeinschaftspraxis in die neue Praxis folgen. Insofern ist eine Lösung über die nachträgliche Herausgabe der Daten möglich.

In den übrigen Fällen liegt eine vergleichsweise Heranziehung der Regelungen im Fall eines Praxisverkaufs nahe. Nach der Rechtsprechung wird von dem Veräußerer einer Praxis verlangt, dass bei einer Weitergabe von Patientenunterlagen vom Betroffenen eine Zustimmung zur Übertragung in hinsichtlich Art und Umfang eindeutiger und unmissverständlicher Weise einzuholen ist. Ohne diese Zustimmung wird sowohl in das informationelle Selbstbestimmungsrecht des Patienten eingegriffen wie auch die ärztliche Schweigepflicht verletzt.

Was tun: das „Zwei-Schrank-Modell“

In der Praxis hat sich für den Fall der Veräußerung einer Praxis zur Sicherung des informationellen Selbstbestimmungsrechts des Betroffenen das „Zwei-Schrank-Modell“ durchgesetzt. Hierbei behält der Verkäufer die informationsrechtliche Verfügungsbefugnis an dem Datenbestand. Der Bestand wird in einem verschlossenen Schrank an den Erwerber übergeben. Der Erwerber ist dazu verpflichtet, die Kartei nur zu verwahren. Kommt ein Patient in die Praxis, der behandelt werden möchte, muss dieser vor Ort eine Einwilligungserklärung dahingehend abgeben, dass dieser die Befugnis, auf den Datenstamm zuzugreifen, nun auf den Erwerber überträgt. Erteilt der Patient sein Einverständnis, so ist es in der Akte zu dokumentieren. Der Gewahrsam an den Daten per se wird damit von einer datenschutzrechtlichen Möglichkeit zur Einsichtnahme getrennt.

Soweit, wie inzwischen üblich, die Patientenakte elektronisch geführt wird, muss der Altbestand gesperrt werden. Erst nach der Einholung der Einwilligung darf auf diesen mittels des generell bestehenden EDV-Systems zugegriffen werden.

Übertragung auf die Gemeinschaftspraxis

Aufgrund der vergleichbaren Interessenlage liegt ein Rückgriff auf die Handhabe im Fall des Verkaufs einer Arztpraxis mit lokal gespeicherten Patientendaten nahe. Auch hier sollen Daten, die zuvor einer verantwortlichen Stelle zugeordnet gewesen sind (sprich: der Gemeinschaftspraxis) auf eine andere verantwortliche Stelle (sprich: der einzelne Arzt) übertragen werden. Letztlich findet genau derselbe datenschutzrechtliche Prozess statt: ein Wechsel der verantwortlichen Stelle, die die Rechte der Betroffenen zu wahren hat.

Unterscheidung: Praxisgemeinschaft

Streng abzugrenzen ist der dargestellte Sachverhalt von einer Praxisgemeinschaft. Hier schließen sich mehrere Ärzte nur zusammen, um die Praxisräume gemeinsam zu nutzen oder etwa das Praxispersonal gemeinsam zu beschäftigen. Jeder Arzt hat aber seinen eigenen Patientenstamm und ist insofern selbst die verantwortliche Stelle im Sinne des BDSG. Löst sich eine Praxisgemeinschaft auf, so stellen sich keine datenschutzrechtlichen Besonderheiten, da jeder Arzt einfach seine Patienten behält und dementsprechend mit dem Datenstamm verfährt.

Fazit

Neu zu gründenden Gemeinschaftspraxen ist bei lokaler Speicherung der Patientendaten von Anfang an eine saubere Trennung der Datenbestände nach behandelndem Arzt zu empfehlen. So ist im Fall der Praxis-Auflösung eine einfache und trennscharfe Aufteilung der Patientendaten möglich. Wurde dies unterlassen, liegt im Fall der Praxis-Auflösung ein Rückgriff auf das so genannte „Zwei-Schrank-Modell“ nahe. Eine vollständige und unbeschränkte Weitergabe der kompletten lokal gespeicherten Patientendaten an alle ausscheidenden Ärzte ohne Einwilligung der betroffenen Patienten wird im Regelfall datenschutzrechtlich unzulässig sein. Insbesondere bei der Einwilligung sind weitere gesetzliche Vorgaben zu beachten.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130392-0
E-Mail: email@iitr.de