• Text des Entwurfs der EU-Datenschutzverordnung (englische Fassung)
• Text des Entwurfs der EU-Datenschutzverordnung (deutsche Fassung)
• Pressemitteilung der EU-Kommission mit kompakter Übersicht der Neuregelungen (deutsche Fassung)
• Vertiefende Informationen der EU-Kommission zum Entwurf der EU-Datenschutzverordnung (englische Fassung)

Anders als die momentane Regelung über eine EU-Richtlinie zum Datenschutz und entsprechende nationale Gesetze würde eine EU-Datenschutzverordnung vergleichbar nationalem Recht sofort und unmittelbar (in allen EU-Mitgliedsstaaten) Geltung erhalten (zur genaueren Differenzierung zwischen Richtlinie und Verordnung hier).

Der Entwurf der EU-Datenschutzverordnung wird nun zur weiteren Verhandlung an das Europäische Parlament übergeben. Angesichts der Vielzahl der betroffenen Interessengruppen und den erwarteten wirtschaftlichen und politischen Auswirkungen wird allgemein mit einer Verhandlungszeit von mindestens zwei Jahren gerechnet. In dem aktuellen Entwurf ist zudem die Anwendung der EU-Datenschutzverordnung erst nach zwei Jahren nach Inkrafttreten vorgesehen – so dass mit Änderungen für Unternehmen allgemein frühestens in vier Jahren gerechnet wird. Es bleibt abzuwarten, welche Regelungen letztlich Bestand haben werden.

Besondere Beachtung verdienen insbesondere die folgenden Reaktionen auf den Entwurf der EU-Datenschutzverordnung:

• Ein Abschied von den Grundrechten; Artikel von RiBverfG Herrn Professor Dr. Johannes Masing in der Süddeutschen Zeitung vom 9. Januar 2012
• Innenminister Friedrich widerspricht EU-Plänen zur Datenschutzmodernisierung; Beitrag auf heise.de vom 15. Januar 2012
• Schaar sieht Licht und Schatten bei EU-Plänen zum Datenschutz; Beitrag auf heise.de vom 17. Januar 2012
• Dialogmarketer fürchten Datenschutz-Pläne der EU; Beitrag auf horizont.net vom 19. Januar 2012
• Wirklichkeitsfern, Detailverliebt, Kontrollversessen: EU-Kommission möchte Datenschutz neu regeln – eine erste Einschätzung; Blog-Beitrag von Rechtsanwalt Niko Härting vom 25. Januar 2012
• EU data protection reform: the industry responds; Beitrag auf Info4Security vom 27. Januar 2012

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

• Datenschutz App für das iPhone: im Januar 2011 stellten wir für alle Datenschutz-Interessierten eine kostenlose Datenschutz App für das iPhone vor, auf der sich unter anderem die wichtigsten Gesetzestexte, Checklisten sowie unsere Kommentare und Video-Schulungsunterlagen zum Datenschutz aufrufen lassen.

• Mindestanforderungen an die Qualifikation des Datenschutzbeauftragten: im Februar 2011 stellten wir die Auswirkungen eines Beschlusses des Düsseldorfer Kreises hinsichtlich der Mindestanforderungen an die Qualifikation und die Unabhängigkeit des Datenschutzbeauftragten vor.

• Datenschutz-Aufsicht Niedersachsen: “Ich habe in meiner Amtszeit keinerlei Druck von außen erlebt”: im März 2011 interviewten wir Herrn Joachim Wahlbrink, den niedersächsischen Landesbeauftragten für den Datenschutz, anlässlich der noch laufenden praktischen Umsetzung des EuGH-Urteils zur Forderung nach völliger Unabhängigkeit der Datenschutz-Aufsichtsbehörden.

• Im April 2011 befassten wir uns mit dem Thema “Volkszählung 2011” und hierbei insbesondere Art und Umfang der Datenerhebung. Zudem untersuchten wir im Beitrag “Das Infomationsfreiheitsgesetz – scharfe Waffe oder Papiertiger?”  die praktische Umsetzung des Informationsfreiheitsgesetz.

• Im Mai 2011 erörterten wir die Auswirkungen eines BGH-Urteils, nach welchem Unternehmen im Zweifel von betroffenen Privatpersonen den Erhalt einer Einwilligung in Werbeanrufe im Rahmen von Telefon-Direkt-Marketing-Aktionen nachweisen müssen.

• Globaler Datenschutz: Strategie statt Compliance? Im Juni 2011 berichteten wir über den Umstand, dass für viele Unternehmensverantwortliche das Datenschutzrecht bislang vielfach ein bloßes Randthema darstellen und die Unternehmen dabei die strategische Relevanz datenschutzrechtlicher Regelungen übersehen würden.

• Im Juli 2011 widmeten wir uns in den Beiträgen “Datenschutz und Auskunfteien: Diskrepanz zwischen hoher Bonität und niedrigem Score-Wert” und “Rückgewinnungsschreiben an frühere Kunden: Zulässigkeit der Verwendung von während der Vertragslaufzeit gespeicherten Daten” zwei Themen im Umgang mit Kundendaten.

• Der August 2011 war von unserem Beitrag “Facebook Like Button datenschutzkonform einsetzen” bestimmt. Zudem fasste unser “Bericht von der Sommerakademie des ULD in Kiel” die dort besprochenen Datenschutzthemen zusammen.

• In den Beiträgen “Dubai: das DIFC Data Protection Law” und “Datenaustausch zwischen Deutschland und der Türkei“ untersuchten wir im September 2011 die datenschutzrechtlichen Bestimmungen in Dubai bzw. der Türkei unter dem Aspekt der möglichen wirtschaftspolitischen Auswirkungen. Viel Aufmerksamkeit erregte zudem unser Beitrag “Datenschutz-Aufsichtsbehörde: Google Analytics datenschutzkonform einsetzen“.

• Im Oktober 2011 stellten wir im Artikel “Das Phänomen der Blindmeldung“ die datenschutzrechtliche Ausgangslage der in der Praxis häufig vorkommenden so genannten “Blindmeldungen” dar.

• Unternehmen sollten besonderes Augenmerk auf unseren im November 2011 veröffentlichten Hinweis zum Thema “Einsatz von Leasing-Kopier-Geräten” legen. Zudem befassten wir uns in diesem Monat mit dem Thema “Datenschutz in der GEZ-Rundfunkfinanzierung“.

• Im Dezember 2011 berichteten wir über das Treffen unserer IITR-Regionalpartner in Frankfurt und präsentierten unsere neue Facebook-Fanseite zum Datenschutz. Zudem stellten wir unter dem Titel “Gesetzlicher Rahmen für Körperschaften des öffentlichen Rechts” den datenschutzrechtlichen Rahmen bei Körperschaften des öffentlichen Rechts wie z.B. der IHK dar. Ebenfalls häufig aufgerufen wurden die Vortragsfolien zum Thema “Facebook-Like-Button und Webanalyse im Focus der Datenschutz-Aufsichtsbehörden“.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Download der Präsentationsfolien als PDF-Dokument.

Zu den Folien auf slideshare.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtsquellen

Als für eine Körperschaft des öffentlichen Rechts relevante Datenschutzvorschriften kommen zunächst die Datenschutzgesetze der Länder und das Bundesdatenschutzgesetz (BDSG) in Betracht. Die für das Verhältnis beider Rechtsquellen maßgebliche Norm ist § 1 Abs. 2 BDSG. Grob vereinfacht ist das BDSG hiernach stets anwendbar für nicht-öffentliche Stellen (sprich: Unternehmen). Öffentliche Stellen unterliegen dem BDSG nur soweit sie dem Bund unterstehen. In den übrigen Fällen sind im Grundsatz die Landesdatenschutzgesetze anwendbar.

Öffentliche vs. nicht-öffentliche Stelle

Maßgeblich ist damit zunächst, ob die jeweilige Körperschaft des öffentlichen Rechts als öffentliche oder nicht-öffentliche Stelle anzusehen ist. Diese Frage ist in vielen Fällen nicht unumstritten. Hintergrund ist, dass unter die Kategorie der Körperschaften des öffentlichen Rechts nicht nur Gebietskörperschaften oder Behörden fallen, die offenkundig als öffentliche Stelle agieren. Einordnungsschwierigkeiten bestehen insbesondere bei Stiftungen, Handwerksinnungen oder Unternehmen, an denen der Staat beteiligt ist. Soweit eine herrschende Meinung überhaupt auszumachen ist, muss in diesen Grenzfällen allein die Struktur der Mitgliedschaft maßgeblich sein (so Gola/Schomerus, Bundesdatenschutzgesetz, 10. Auflage, 2010, § 2 Rn. 14). Mithin ist diese Frage häufig nur im Einzelfall zu klären.

Rechtsquellen für die Körperschaften des öffentlichen Rechts

Damit steht als Zwischenergebnis fest: Körperschaften des öffentlichen Rechts, deren Mitgliedschaftsstruktur privatrechtlich ist oder die dem Bund unterstehen müssen das BDSG beachten. Körperschaften des öffentlichen Rechts, die einem Bundesland unterstehen (z.B. Kreis- und Stadtverwaltungen) müssen das jeweilige Landesdatenschutzgesetz befolgen. Nach ganz herrschender Auffassung ist auf die Industrie- und Handelskammern das Landesdatenschutzrecht anwendbar, da sie zumindest der Landesaufsicht unterstehen (Gola/Schomerus, Bundesdatenschutzgesetz, 10. Auflage 2010, § 2 Rn. 18).

„Verbot mit Erlaubnisvorbehalt“ und „Abschottungsgebot“

Grundsätzlich gilt für alle Körperschaften des öffentlichen Rechts das so genannte „Verbot mit Erlaubnisvorbehalt“, wonach jede Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten grundsätzlich verboten ist (Regel), es sei denn der Betroffene hat eingewilligt oder ein Gesetz erlaubt die Datenverarbeitung oder ordnet diese an (Ausnahme). Für die Körperschaften des öffentlichen Rechts des Bundes folgt dies aus § 4 Abs. 1 BDSG, für diejenigen der Länder aus den entsprechenden Landesdatenschutzgesetzen (z.B. § 6 BlnDSG, Art. 15 BayDSG).

Für die Körperschaften des öffentlichen Rechts wird das Verbot mit Erlaubnisvorbehalt zudem durch das sog. „Abschottungsgebot“, das auch als „informationelle Gewaltenteilung“ bezeichnet wird, ergänzt. Hierzu hat das Bundesverfassungsgericht (BVerfG NJW 1988, 959-961) entschieden, dass die öffentliche Hand keine einheitliche verantwortliche Stelle ist, sondern aus vielen einzelnen verantwortlichen Stellen besteht. Das heißt, dass der datenschutzrechtlich relevante Kontakt zwischen einer Körperschaft des öffentlichen Rechts und einer anderen Körperschaft oder Behörde ebenfalls grundsätzlich verboten ist, soweit kein Erlaubnistatbestand eingreift.

Einwilligung als Rechtsgrundlage

Mithin ist ein wesentlicher Erlaubnistatbestand zur Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen. Sie muss freiwillig, widerruflich und informiert erfolgen. Im BDSG folgt dies aus etwa aus § 4a, in den Landesgesetzen gibt es vergleichbare Normen (z.B. § 6 Abs. 3 – 6 BlnDSG, Art. 15 Abs. 2 – 4 BayDSG).

Einwilligungsunabhängige Erlaubnistatbestände

Daneben stellt für die Datenverarbeitung durch Körperschaften des öffentlichen Rechts der häufigste Erlaubnisgrund die Annahme einer Pflichtaufgabe dar, soweit die Interessen des Betroffenen nicht entgegenstehen (z.B. für den Bund: § 13 Abs. 1 BDSG; für die Länder z.B. § 10 Abs. 1 BlnDSG, Art. 16 BayDSG).

Im Beispiel der Industrie- und Handelskammern (mit einer gesetzlich normierten Zwangsmitgliedschaft; vgl. § 2 Abs. 1 IHKG) folgt hieraus, dass eine Erhebung, Verarbeitung und/oder Nutzungen personenbezogener Daten regelmäßig nur dann zulässig ist, wenn dies der Aufgabenerfüllung des IHKG entspricht. Ansonsten muss eine Datenverarbeitung im Grundsatz auf eine Einwilligung der Betroffenen gestützt werden.

Fazit

Es zeigt sich, dass auch Körperschaften des öffentlichen Rechts wie bspw. die Industrie- und Handelskammern den Datenschutzbestimmungen unterliegen. Hervorzuheben ist hierbei der Grundsatz der so genannten „informationellen Gewaltenteilung“, der auch kleinste öffentliche Einheiten zur Abschottung gegenüber anderen öffentlichen Stellen zwingt.

Autor:
Rechtsanwalt Dr. Stephan Gärtner, Berlin

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Es bleibt abzuwarten, was von dem durch Heise.de ausführlich besprochenen Entwurf am Ende bleiben wird. Ziel des Entwurfs scheint in jedem Fall zu sein, die europäischen Datenschutz-Vorstellungen global durchzusetzen. Üblicherweise benötigt die Finalisierung einer solchen EU-Regelung mindestens zwei Jahre und sollen die Regelungen nach Verabschiedung erst nach zwei Jahren in Kraft treten, so dass mit Änderungen in Deutschland nicht vor 2016 zu rechnen ist.

• EU-Datenschutzverordnung im Volltext (PDF)

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Mit Verboten gegen weltweit vorhandene Trends sowie soziale Grundbedürfnisse des Menschen vorgehen zu wollen, hält das IITR angesichts von inzwischen weltweit über 800 Millionen Nutzern allein bei Facebook als nicht die einzige Möglichkeit, dem Datenschutz Beachtung zu verschaffen

Direkte Gespräche mit den Nutzern

Durch direkte Gespräche mit den Nutzern glaubt das IITR, dass man dem informationellen Selbstbestimmungsrecht dienlich sein könne indem man, unterstützt durch die Agentur www.1-2-Social.de, stattdessen direkt mit den Nutzern ins Gespräch kommen wird.

Grundrecht auf informationelle Selbstbestimmung

Die Absicht des IITR ist es, das vom Bundesverfassungsgericht entwickelte Grundrecht auf informationelle Selbstbestimmung zu stärken, dessen Kernsatz festhält: „(es ist) die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Update: Foto der Veranstaltungsteilnehmer

Von links nach rechts: Dr. Sebastian Kraska, Ralf Zlamal, Karsten Witt, Robert Aumiller, Harald Pultar, Professor Dr. Michael Hassemer (Mitglied wissenschaftlicher Beirat), Rolf Poschmann

Über die Regionalpartner

Über das IITR

Das IITR ist im Bereich des betrieblichen Datenschutzrechts tätig und begleitet Unternehmen mit externen Datenschutzbeauftragten bei der Bewältigung datenschutzrechtlicher Anforderungen. Über das Internet erreicht das IITR eine breite Öffentlichkeit und informiert fortlaufend zu Fragen des Datenschutzes. Zur Förderung wissenschaftlicher Angelegenheiten wird das Institut von einem wissenschaftlichen Beirat unterstützt.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Datum:

15. Dezember 2011 (Donnerstag)

Ort:

Siemens-Forum am Altstadtring

(4. Flur – Raum 22.426)

Oskar-von-Miller-Ring 20

80333 München

Uhrzeit:

19.00 Uhr (Teilnahme auch für Nicht-Mitglieder möglich; um entsprechende Anmeldung wird gebeten).

Details zu den Fachvorträgen:

• Rechtsanwalt Florian Thoma (Datenschutzbeauftragter der Siemens AG und 1. Vorsitzender der Bayerischen Datenschutzgesellschaft): „Bericht aus Brüssel: EU konkretisiert ihre Vorstellungen zum neuen Rechtsrahmen – Ablösung der Richtlinie 95/46/EG“

• Rechtsanwalt Dr. Sebastian Kraska (Externer Datenschutzbeauftragter und Schriftführer der Bayerischen Datenschutzgesellschaft): „Facebook-Like-Button und Webanalyse im Focus der Datenschutz-Aufsichtsbehörden“

Anmeldung:

Bei Interesse an einer Teilnahme schreiben Sie einfach eine E-Mail an email@iitr.de.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

• Die vollständige englischsprachige Übersetzung finden Sie hier auf unserer englischsprachigen Webseite unter www.iitr.us.
• Der Beitrag ist eine Übersetzung unseres Artikels “Einsatz von Leasing-Kopier-Geräten“.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Das Urteil des EuGH hatte an sich einen anderen Gegenstand zur Hauptsache. In Randziffer 51 wurde eher nebenbei festgestellt:

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

Eine Differenzierung in dynamische oder statische IP-Adressen wurde dabei im Urteil offensichtlich nicht vorgenommen. Auch werden andere in der Diskussion häufig vorgebrachte Gegenargumente nicht im Detail behandelt. Dennoch dürfte das Urteil eine gewisse Richtung weisen, wie diese Frage künftig gerichtlich zu entscheiden ist.

Vielen Dank an den Kollegen Rechtsanwalt Michael Seidlitz für den Hinweis auf das Urteil.

Update am 25. November 2011:

Auf die teilweise geäußerte Rückmeldung, dass der Personenbezug von IP-Adressen bei Zugangsprovidern unumstritten sei und die Meldung den Sachverhalt daher verkürze, möchte ich vertiefend auf die Argumente des Kollegen Jens Ferner für die Abkehr vom “relativen Personenbezug” verweisen, die nach meiner Lesart durch das Urteil gestärkt werden.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Einleitung

Die Bundesländer haben im Dezember 2010 den Fünfzehnten Rundfunkänderungsstaatsvertrag unterzeichnet, welcher in Art. 1 den Rundfunkbeitragsstaatsvertrag (RBStV) enthält. Nach Ratifizierung des Staatsvertrags in Landesrecht durch die einzelnen Landesgesetzgeber wird er am 1.Januar 2013 in Kraft treten und der Rundfunkfinanzierung eine neue Grundlage geben. Statt wie bisher Gebühren für das Bereithalten von Hörfunk- und Fernsehgeräten (Empfangsgeräte) zu erheben, wird zukünftig ein Beitrag auf das Innehaben einer Wohnung oder einer Betriebsstätte erhoben.

Die geräteunabhängige Finanzierungsgrundlage wird zum Wegfall der Hausbesuche der „Gebührenbeauftragten“ der Gebühreneinzugszentrale (GEZ) führen und zu einer Reduzierung des Umfangs der zu Einzugszwecken erforderlichen Daten.

Die Rundfunklandschaft in Deutschland

Hörfunk und Fernsehen (Rundfunk) erfüllen wesentliche Aufgaben in einer Demokratie. Die in Art. 5 Abs. 1 S. 2 Grundgesetz (GG) gewährleistete Rundfunkfreiheit dient der freien individuellen und öffentlichen Meinungsbildung (BVerfGE 57, 297 [319]). Die freie Meinungsbildung ist Voraussetzung sowohl der Persönlichkeitsentfaltung als auch der demokratischen Ordnung (BVerfGE 90, 60 [87]).

Die Rundfunkfinanzierung in Deutschland – Von der Gebühr…

Dem Rundfunkgebührenstaatsvertrag (RGebStV) nach sind Rundfunkgebühren die vorrangige Finanzierungsquelle des öffentlich-rechtlichen Rundfunks. Es besteht hierbei derzeit ein geräteabhängiges Finanzierungsmodel. Rundfunkteilnehmer und somit Gebührenschuldner ist nach § 2 RGebStV grundsätzlich jene Person, die ein Empfangsgerät zum Empfang bereithält. Der konkrete Betrieb eines Empfangsgeräts ist nicht erforderlich. Gebührengläubiger sind die zuständigen Rundfunkanstalten. Bereits seit 1976 übernimmt die Aufgabe des Gebühreneinzugs die durch Verwaltungsvereinbarung der Rundfunkanstalten gegründete GEZ mit Sitz in Köln.

Die Rundfunkgebühren stießen vermehrt auf Kritik. Insbesondere die „Schnüffelei an der Wohnungstür“ (Kurt Beck) durch die Gebührenbeauftragten der GEZ wurde als störend wahrgenommen, was dem Ansehen der GEZ und mitunter des öffentlichen-rechtlichen Rundfunks generell schadete.

Das geräteabhängige Finanzierungsmodel muss in Zeiten der Medienkonvergenz mittlerweile zudem auch als veraltet gelten. Netze, Endgeräte und Dienste konvergierten zu einem Grad, dass jeder Computer und jedes Smartphone ein zum Empfang von Rundfunk geeignetes Endgerät wurde. Die Einteilung in Hörfunk- und Fernsehgeräte wurde immer schwieriger.

…zum Beitrag

Mit Beginn des Jahres 2013 wird die Rundfunkgebühr durch den Rundfunkbeitrag ersetzt. Statt der Gebühr für ein bestimmtes Empfangsgerät wird zukünftig ein pauschaler Beitrag erhoben. Wesentliches Ziel der Reform war es, den Weg der Datenerhebung über die „Haustür“ so weit wie möglich zu reduzieren und durch den Wechsel von einem geräteabhängigen hin zu einem pauschalen geräteunabhängigen Finanzierungsmodel der Medienkonvergenz Rechnung zu tragen. Zudem soll der pauschale Beitrag gerechter sein.

Beitragsschuldner im privaten Bereich ist der Inhaber einer Wohnung und im nichtprivaten Bereich der Inhaber einer Betriebsstätte. § 2 Abs. 2 RBStV bestimmt, dass Inhaber einer Wohnung jede volljährige Person ist, die die Wohnung selbst bewohnt. Als Inhaber wird vermutet, wer dort nach dem Melderecht gemeldet oder im Mietvertrag als Mieter genannt ist. Im nichtprivaten Bereich gilt gemäß § 5 RBStV eine Staffelung bei den Beitragssätzen je nach Anzahl der Mitarbeiter. Die Staffelung beginnt bei einem Drittel Rundfunkbeitrag für Betriebsstätten mit bis zu acht Beschäftigten und endet mit 180 Beiträgen für 20.000 und mehr Beschäftigte.

Mitwirkungspflichten und Auskunftsansprüche

Das Rückgrat des Gebühren- bzw. Beitragseinzugs ist die bei der GEZ angelegte Datenbank der gemeldeten Rundfunkteilnehmer. Zum Zwecke der Datenerhebung und -aktualität sehen der RGebStV und der RBStV Mitwirkungspflichten der Rundfunkteilnehmer und Auskunftsansprüche der Rundfunkanstalten vor. Letztere wirken flankierend, wenn die Rundfunkteilnehmer ihren Verpflichtungen nicht nachkommen.

Der RGebStV verpflichtet in § 3 Abs. 1 und Abs. 2 die Rundfunkteilnehmer der zuständigen Rundfunkanstalt eine Fülle von Daten unverzüglich mitzuteilen und auf Verlangen nachzuweisen: Vor- und Familienname sowie der früherer Name, unter dem ein Rundfunkempfangsgerät angemeldet wurde, Geburtsdatum, Name und Anschrift des gesetzlichen Vertreters, gegenwärtige Anschrift sowie letzte Anschrift, Beginn und Ende des Bereithaltens von Rundfunkempfangsgeräten, Art, Zahl, Nutzungsart und Standort der Rundfunkempfangsgeräte, und Grund der Abmeldung.

Liegen tatsächliche Anhaltspunkte dafür vor, dass der Rundfunkteilenehmer seiner Auskunftspflicht nicht oder nur teilweise nachgekommen ist, kann gemäß § 4 Abs. 5 RGebStV die zuständige Rundfunkanstalt von Rundfunkteilenehmern direkt oder von anderen, die mit den Rundfunkteilenehmern in häuslicher Gemeinschaft leben, Auskunft über die von der Anzeigepflicht umfassten Angaben verlangen. Die Rundfunkanstalten können dann auch weitere Daten erheben, die nicht von der Auskunftspflicht umfasst sind, wenn dies erforderlich ist. Der Auskunftsanspruch ist im Verwaltungsverfahren durchsetzbar. Unter der zusätzlichen Voraussetzung, dass dies zur Überwachung der Rundfunkgebührenpflicht erforderlich und die Direkterhebung beim Betroffenen nicht möglich ist oder einen unverhältnismäßigen Aufwand erfordern würde, ermächtigt § 4 Abs. 6 RGebStV die Rundfunkanstalten sogar zur Einholung von Auskünften bei den Meldebehörden.

Die Rundfunkanstalten können auch Dritte, z.B. Adresshändler oder Detekteien, mit der Ermittlung von Rundfunkteilnehmern, die ihrer Anzeigepflicht nicht nachgekommen sind, beauftragen. § 8 RGebStV verweist hier auf die für die Datenverarbeitung im Auftrage anwendbaren Bestimmungen (z.B. § 11 Bundesdatenschutzgesetz (BDSG)).

Zukünftig wird sich insoweit nicht viel ändern. § 8 RBStV normiert eine zum Gebührenmodel vergleichbare Anzeigepflicht der Rundfunkteilnehmer und ein vergleichbares Auskunftsrecht der Rundfunkanstalten. Kleinere Unterschiede resultieren aus der Natur der Sache. Da das Empfangsgerät zukünftig nicht mehr der Anknüpfungspunkt des Beitrags ist, werden Angaben darüber, welche Personen welche Geräte wo in einer Wohnung zum Empfang bereithalten, nicht mehr benötigt. Dafür werden umgekehrt mehr Daten zur Feststellung des Inhabers einer Wohnung erforderlich. Z.B. müssen zukünftig nicht nur Eigentümer, sondern auch Erbbau- und Pfandberechtigte mitgeteilt werden. Die Erweiterung der Daten an dieser Stelle soll der Vielschichtigkeit der Lebensweisen der Menschen gerecht werden.

Zwei Punkte in § 8 Abs. 4 RBStV müssen einschränkend gelesen, bzw. durch Satzung (Satzungsermächtigung in § 9 Abs. 2 RBStV) einschränkend konkretisiert werden. § 8 Abs. 4 Nr. 4 RBStV sieht vor, dass neben der gegenwärtigen Anschrift jeder Betriebsstätte und jeder Wohnung auch alle vorhandenen Informationen zur Lage gemeldet werden müssen. Gemeint sind aber nicht wirklich alle verfügbaren Information, sondern solche, die zur Unterscheidung z.B. einer Wohnung von anderen innerhalb eines Gebäudes erforderlich sind.

Weiterhin sieht bei der Abmeldung einer Wohnung oder Betriebsstätte § 8 Abs. 5 Nr. 2 RBStV vor, dass der die Abmeldung begründende Lebenssachverhalt mitgeteilt werden muss. Die Regelung soll nicht über die bisherige hinausgehen, so dass schlichtweg der Grund der Abmeldung mitgeteilt werden muss.

Zweckbindung

§ 3 Abs. 3 RGebStV normiert das Zweckbindungsgebot. Hiernach darf die Landesrundfunkanstalt die ihr mitgeteilten Daten nur für die ihr im Rahmen des Rundfunkgebühreneinzugs obliegenden Aufgaben verarbeiten.

Die Zweckbindung gemäß § 11 Abs. 5 Satz 1 RBStV wird zukünftig noch strikter, da sie sämtliche Daten, unabhängig von ihrer Herkunft und ob sie von der Anzeigepflicht erfasst sind, betrifft. Die erhobenen Daten sind unverzüglich zu löschen wenn feststeht, dass sie nicht mehr benötigt werden.

Es darf daher keine Mitteilung an andere Stellen erfolgen. Anders als bei Einwohnermeldeämtern dürfen die Daten auch zu Strafverfolgungszwecken nicht weitergegeben werden.

Datenkontrolle

§ 8 Abs. 2 Satz. 2 RGebStV und § 11 Abs. 2 RBStV sehen eine zweistufige Datenkontrolle vor. Neben den nach Landesrecht für die Landesrundfunkanstalt zuständigen sog. Rundfunkbeauftragten für den Datenschutz ist ein betrieblicher Datenschutzbeauftragter bei der Rundfunkanstalten bzw. der GEZ zu bestellen. Beide arbeiten zur Gewährleistung des Datenschutzes zusammen.

Dynamische Verweisungen auf die entsprechenden Regelungen im BDSG sollen dafür sorgen, dass das Datenschutzniveau aktuell und in einem sich schnell wandelnden Umfeld anpassungsfähig bleibt.

Da es nach Landesrecht nicht in allen Ländern, z.B. in Hessen und Bremen, eigene Rundfunkbeauftragte für den Datenschutz gibt und diese Aufgaben den Landesbeauftragten für den Datenschutz zugewiesen sind, stehen insoweit die Rundfunkanstalten unter staatlicher Kontrolle, was unter dem Gesichtspunkt des staatsfernen Rundfunks verfassungsrechtlich bedenklich erscheinen mag. Nach der Rechtsprechung des Bundesverfassungsgerichts erschöpft sich die Garantie der Rundfunkfreiheit nicht in dem Beherrschungsverbot gegenüber dem Staat, sondern soll vielmehr jede politische Instrumentalisierung ausschließen (BVerfGE 90, 60, [88]). Unter anderem diese Bedenken wurden vom Gesetzgeber nicht aufgegriffen und dürften auch eher ein akademisches Problem sein, da die Landesbeauftragten für den Datenschutz ja selbst unabhängig sind. Die Forderung nach einem staatsfernen Rundfunk wird hierdurch nicht unterlaufen.

Der Antrag auf Befreiung

§ 6 RGebStV und § 4 RBStV ermöglichen gewissen Bevölkerungsgruppen die Befreiung von der Zahlungspflicht. Dies betrifft z.B. Auszubildende, Bafög- und Sozialhilfeempfänger, Rentner sowie körperlich eingeschränkte Menschen. Der Antragssteller muss das Vorliegen eines Befreiungsgrundes durch Vorlage einer entsprechenden Bestätigung durch den Leistungsträger oder durch einen entsprechenden Bescheid nachweisen. Insbesondere gesundheitliche Befreiungsgründe betreffen den besonderen Bereich sensibler Daten (§ 3 Abs. 9 BDSG). Nicht nur unter dem Gesichtspunkt des Grundsatzes der Datensparsamkeit wäre sicherlich ein neutrales Formblatt der Leistungsträger oder Ärzte vorzuziehen, aus dem schlichtweg die Feststellung des Befreiungstatbestandes ohne nähere Angaben hervorgeht.

Das Verfahren im Übergang ab 2012

Ab dem 1. Januar 2012 besteht nach § 14 RBStV eine Anzeigeobliegenheit bzw. -pflicht der Rundfunkgebührenschuldner, der zuständigen Rundfunkanstalt alle Tatsachen anzuzeigen, welche Grund und Höhe des zukünftigen Beitrags betreffen.

Kommen Rundfunkteilnehmer ihren Verpflichtungen nicht nach, kann die Rundfunkanstalt ihren Anspruch im Verwaltungsverfahren durchsetzen oder es bei der gesetzlichen Vermutung aus § 14 RBStV belassen, wonach bis zum 31. Dezember 2012 gemeldete Gebührenschuldner Beitragsschuldner nach dem neuen Staatsvertrag werden. Deshalb ermächtigt § 14 Abs. 6 RBStV die Nutzung bislang gespeicherter Daten im notwendigen Umfang. Die Daten betreffend Art und Anzahl der Empfangsgeräte, die fortan nicht mehr benötigt werden, müssen daher gelöscht werden.

Der einmalige Meldeabgleich

Größere Aufmerksamkeit erregte § 14 Abs. 9 RBStV. Hiernach werden die Rundfunkanstalten ermächtigt, einmalig ihre Daten mit den Daten der Einwohnermeldeämter abzugleichen. Zulässig ist dies nur zum Zwecke der Bestands- und Ersterfassung. Dies muss innerhalb von zwei Jahren erfolgen. Hat die zuständige Rundfunkanstalt nach dem Abgleich für eine Wohnung einen Beitragsschuldner identifiziert, hat sie die Daten der übrigen Mitbewohner, die ja grundsätzlich gesamtschuldnerisch neben dem angemeldeten „Inhaber“ der Wohnung zur Beitragszahlung mit verpflichtet sind, unverzüglich zu löschen.

Die gesetzliche Rechtfertigung für diese Datenverarbeitung kommt aus dem Melderecht. Dieses sieht in einigen Ländern Regelungen über die Datenübermittlung an andere Behörden und öffentliche Stellen vor, sofern der Anlass und der Zweck der Übermittlung, der Datenempfänger und die zu übermittelnden Daten konkretisiert sind. Andere Bundesländer haben spezielle Ermächtigungen zur Datenübermittlungen an die jeweils zuständige Rundfunkanstalt erlassen (z.B. § 34a Niedersächsisches Meldegesetz an den NDR) [Passage angepasst auf Hinweis von Herrn Dr. Belz].

Dem Volkszählungsurteil nach können Eingriffe in das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gerechtfertigt sein, sofern die „gesetzliche (…) Grundlage (…) dem rechtsstaatlichen Gebot der Normenklarheit entspricht (…).“ Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten (BVerfGE 65, 1 [44.]).

Fazit

Das zukünftige Beitragsmodel schafft die Hausbesuche der GEZ ab und löst sich von der Gerätebindung. Die Rundfunkfinanzierung wird dadurch in gewisser Weise „unsichtbar“: wenn Daten nicht freiwillig und ohne Hausbesuche erhoben und aktualisiert werden können, greifen pauschale Befugnisse der Anstalten, sich die Daten indirekt (z.B. durch Adresskauf) zu beschaffen. Mit einer äußert stringenten Zweckbindung wird versucht dafür Sorge zu tragen, dass die Fülle und die Vielfalt der Daten nur für den Zweck der Beitragseinziehung bzw. -freistellung verwendet werden.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Diplom-Jurist Michael Stolze, LL.M. LL.M.

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

1. Seien Sie sich bewusst, dass bei der Rückgabe von Leasing-Kopier-Geräten (aber auch bei der Entsorgung von Eigen-Kopier-Geräten) derzeit sensible Unterlagen das Unternehmen verlassen.
2. Die meisten Kopier-Geräte-Hersteller bieten inzwischen (gegen Aufpreis) unter dem Stichwort “Data-Security-Kit” einen Datenverschlüsselungsalgorithmus, der die auf der Festplatte verbliebenen Dateien sicher überschreibt.
3. Kopier-Geräte von Herstellern, die Festplatten zur Zwischenspeicherung der eingescannten Dateien verwenden und keine sichere Datenlöschung sicherstellen können, sollten von ihrer Verwendung ausgeschlossen werden.

Fazit

Meine Empfehlung lautet, gerade bei Leasing-Kopier-Geräten entsprechende “Data-Security-Kits” nachzurüsten. Ebenfalls erforderlich ist eine datenschutzgerechte Entsorgung von Eigen-Kopier-Geräten, um einen Fremdzugriff auf Unternehmensunterlagen zu verhindern.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

• Der Beitrag ist eine Übersetzung unseres Artikels “Hamburger Datenschutz-Aufsichtsbehörde: Google Analytics datenschutzkonform einsetzen“.
• Die vollständige englischsprachige Übersetzung finden Sie hier auf unserer englischsprachigen Webseite unter www.iitr.us.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Im Fazit des Gutachtens heißt es hierbei:

“Das ULD zieht auf Grundlage seiner technischen und rechtlichen Analyse die Schlussfolgerung, dass das Betreiben von Facebook Fanpages sowie die Einbindung von Social-Plugins zwangsläufig zu Datenschutzverstößen führt und fordert die Webseitenbetreiber daher dazu auf, entsprechende Angebote zu entfernen. Tatsächlich bestehen an der datenschutzrechtlichen Zulässigkeit dieser Anwendungen erhebliche rechtliche Zweifel. Aufgrund der komplexen und unübersichtlichen Rechtslage sowie der Schwierigkeit einer zutreffenden Einordnung der technischen Abläufe ist eine abschließende datenschutzrechtliche Bewertung aus hiesiger Sicht jedoch nicht möglich.

Festzuhalten ist Folgendes: Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Im Hinblick auf die zur Verantwortlichkeit von Webseitenbetreibern gemachten Feststellungen erscheint jedenfalls die Begründung einer Auftragsdatenverarbeitung nach § 11 BDSG und einer daraus resultierenden Verantwortlichkeit der Webseitenbetreiber für die durch Facebook erstellten Statistiken nicht nachvollziehbar. Eine Verantwortlichkeit von Facebook Nutzern ist zudem entgegen der Bewertung des ULD wohl jedenfalls dann abzulehnen, wenn diese gleichzeitig Betroffene i. S. d. Datenschutzrechts sind und lediglich Daten zu ihrer eigenen Person verarbeiten.

Im Rahmen der Darstellungen zum anwendbaren Recht geht das ULD ohne Weiteres davon aus, dass all solche Daten, die nicht als Bestands- oder Nutzungsdaten i. S. d. TMG zu qualifizieren sind, als Inhaltsdaten dem Anwendungsbereich des BDSG unterliegen. Wie dargestellt, sind nach einer anderen Ansicht solche Daten jedoch zur Wahrung der Einheitlichkeit des Telemedienschutzes ebenfalls nach § 15 TMG zu behandeln. Den Ausführungen zur Zulässigkeit der Datenverarbeitung ist im Ergebnis wohl zuzustimmen. Im Hinblick auf die Informationspflichten von Webseitenbetreibern geht das ULD davon aus, dass insoweit der Anwendungsbereich des § 5 TMG eröffnet ist. Wie dargestellt, lässt sich im Einzelfall bei entsprechender Begründung jedoch auch eine abgeschwächte Impressumspflicht nach § 55 RStV begründen. Insgesamt hängt die Bewertung der durch das ULD gemachten Ausführungen zu Informationspflichten und Datensicherheit davon ab, inwieweit man die Verwender von SocialPlugins als verantwortliche Stellen betrachtet.

Die Frage möglicher Konsequenzen für Webseitenbetreiber lässt sich im Ergebnis nicht eindeutig beantworten. Nach hiesiger Auffassung dürfte das Landesinnenministerium für die Verhängung von Bußgeldern nach § 16 Abs. 2 Nr. 2 bis 5 TMG zuständig sein.

Im Übrigen geht das ULD in seiner Beurteilung überwiegend von vertretbaren Rechtsauffassungen aus, jedoch ist der durch das ULD erweckte Eindruck, die untersuchten Sachverhalte würden eindeutig gegen geltendes Datenschutzrecht verstoßen, unzutreffend. Vielmehr ist das geltende Datenschutzrecht von Unsicherheiten geprägt und macht die eindeutige Beantwortung rechtlicher Fragen in diesem Bereich schwer. Eine gerichtliche Beurteilung der untersuchten Sachverhalte steht bislang aus.

Die zur Frage der Personenbezogenheit einer IP-Adresse auch in der Rechtsprechung vertretenen verschiedenen Auffassungen machen zudem deutlich, dass selbst im Falle einer richterlichen Entscheidung nicht von einer endgültigen Klärung datenschutzrechtlichen Kontroversen ausgegangen werden kann. Es kann daher keine abschließende Empfehlung hinsichtlich einer Entfernung der durch das ULD als datenschutzrechtlich unzulässig bewerteten Angebote gegeben werden.”

• Vgl. vertiefend auch die Diskussion um eine (dementierte) Sonderlösung von Facebook für Schleswig-Holstein
• Webseitenbetreiber: lesen Sie auch unseren Beitrag “Facebook Like Button datenschutzkonform einsetzen“.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtstatsachen

Datenschutzrechtlich verantwortliche Stellen, sowohl in öffentlich als auch in privater Hand, leiden gleichsam an einem starken Kosten- und Effizienzdruck. Daher greifen sie, gerade wenn es um die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten geht, zu dem Mittel der Automatisierung. Sie legen fest, dass wenn die Voraussetzung A erfüllt ist, die Daten B übermittelt werden. Ein Beispiel: Das Mobilfunkunternehmen M sieht vor, dass alle Verträge, die wegen fehlender Zahlungseingänge gekündigt werden, automatisch als offene Forderung an eine Auskunftei gemeldet werden (vgl. AG Potsdam, Urt. v. 03.06.2005, Az. 22 C 30/05, zu finden bei S. Gärtner, Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts, Verlag Dr. Kovac, 2011, S. 161). Es darf daher von einer Blindmeldung gesprochen werden, denn die Daten werden „blind“ und somit ohne Ansehung des Einzelfalls übermittelt.

Rechtsprechung zu den Blindmeldungen

Nach BDSG sind Blindmeldungen jedenfalls dann rechtswidrig, wenn hierbei Daten automatisch übermittelt werden, ohne dass dies zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich wäre; mithin wenn die Übermittlung keinen Abwicklungszwecken dient. Dies hat dann zur Folge, dass die hierdurch ausgelöste Datenübermittlung insgesamt rechtswidrig ist. Etwa hat sich das OLG Düsseldorf (vgl. MDR 2007, 836-837) einer Entscheidung des Amtsgerichts Potsdam (AG Potsdam, Urt. v. 3.6.2005, Az. 22 C 30/05) angeschlossen, in der es heißt: „Nach Auffassung des Gerichts führt bereits allein die fehlende Abwägung dazu, dass der Anspruch der Klägerin [Anm.: auf Widerruf der übermittelten Daten] begründet ist.“

Dogmatischer Hintergrund („Ermessensausfall“)

Hintergrund ist, dass eine Datenübermittlung, die nicht Abwicklungszwecken dient, in der Regel nur unter den Voraussetzungen des § 28 Abs. 1 S. 1 Nr. 2 BDSG gerechtfertigt ist, was erfordert, dass eine am Verhältnismäßigkeitsgrundsatz orientierte Abwägung ergibt, dass die Offenbarungsinteressen der verantwortlichen Stelle oder Dritter die Geheimhaltungsinteressen des Betroffenen überwiegen. Unterlässt die verantwortliche Stelle diese Abwägung und will sich dann auf § 28 Abs. 1 S. 1 Nr. 2 BDSG berufen, ist dies nicht möglich, mit der Folge der Rechtswidrigkeit nach § 4 Abs. 1 BDSG. Treffenderweise spricht das AG Potsdam in seiner Entscheidung von einem „Ermessensausfall“.

Dolo agit – Einrede (vgl. hier zum Begriff)?

Gelegentlich wird vorgebtracht, dass Blindmeldungen zwar zur Rechtswidrigkeit der hierauf fußenden Datenübermittlung führten. Ergäbe aber eine nachträgliche Abwägung die Verhältnismäßigkeit der Übermittlung (i.S.v. § 28 Abs. 1 S. 1 Nr. 2 BDSG), so dürfe nicht deren Rückgängigmachung verlangt werden, da sie ohnehin gleich danach wieder erfolgen dürfe. Diesem Ansatz sind das AG Potsdam und auch das OLG Düsseldorf entgegengetreten, indem sie ausführten, dass „allein“ das Unterlassen der Abwägung (Blindmeldung) zur Rechtswidrigkeit führe und somit eine ex post – Abwägung ausscheide.

Überdies führte ein solcher Rechtssatz zur Bedeutungslosigkeit der Blindmeldungs-Rechtsprechung. Denn ergäbe die nachträgliche Abwägung die Unverhältnismäßigkeit der Übermittlung, brauchte es den Blindmeldungseinwand auch nicht mehr. Führte die Abwägung zur Verhältnismäßigkeit, wäre der Blindmeldungseinwand stets unbeachtlich. Letztlich verkennt dieser Ansatz zudem, dass die dolo-agit-Einrede aus den Grundsätzen von Treu und Glauben gewonnen wird. Eine verantwortliche Stelle, die allein aus Gründen des Kostendrucks eine zwingende Abwägung unterlässt, darf sich selbst nicht auf § 242 BGB berufen.

Beweisbarkeit

Ein weiteres Problem der Praxis lautet: Selbst wenn eine Übermittlung blind erfolgt ist, kann der Betroffene dies in der Auseinandersetzung mit der verantwortlichen Stelle selten darlegen und beweisen. Denn die Abwägungsvorgänge sind für ihn völlig intransparent. Basierend auf der BGH-Rechtsprechung zu unüberwindbaren Beweisschwierigkeiten (BGH NJW 1969, 269) plädiert das Schrifttum für eine Beweislastumkehr.

Fazit

Blindmeldungen stellen sich als wirtschaftlich relevantes Problem dar. Unternehmen fühlen sich häufig aus Kosten- und Effizienzdruck zur Automatisierung von Datenübermittlungen gezwungen (z. B. Auskunfteien beim Negativeintrag). Zwar verneint die Rechtsprechung in der Regel die Vereinbarkeit derartiger Automatisierungsvorgänge mit dem Datenschutzrecht (Blindmeldungsrechtsprechung). Gleichwohl bleiben in der Praxis viele Rechtsfragen (dolo agit, Beweisbarkeit) offen, die es noch zu lösen gilt.

Autor:

Rechtsanwalt Dr. Stephan Gärtner

Kontakt:

Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920

E-Mail-Kontaktformular

E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Über die Regionalpartner

Über das IITR

Das IITR ist im Bereich des betrieblichen Datenschutzrechts tätig und begleitet Unternehmen mit externen Datenschutzbeauftragten bei der Bewältigung datenschutzrechtlicher Anforderungen. Über das Internet erreicht das IITR eine breite Öffentlichkeit und informiert fortlaufend zu Fragen des Datenschutzes. Zur Förderung wissenschaftlicher Angelegenheiten wird das Institut von einem wissenschaftlichen Beirat unterstützt.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Die Orientierungshilfe

Die Datenschutz-Aufsichtsbehörden wollen unterstützend und aktiv den datenschutzgerechten Einsatz von Cloud-Computing fördern. Zu diesem Zweck haben die Arbeitskreise Technik und Medien der Konferenz eine Orientierungshilfe erarbeitet, welche sich an „Entscheidungsträger, betriebliche und behördliche Datenschutzbeauftragte sowie an IT-Verantwortliche“ richtet.

Die Orientierungshilfe enthält einen Katalog von Definitionen rund ums Cloud-Computing, sensibilisiert für die datenschutzrechtlichen Schwerpunkte und enthält insbesondere eine Auflistung von vertraglichen und technisch-organisatorischen Mindestforderungen betreffend die Gestaltung und Anwendung dieser Technologie.

Cloud-Anwender, also die datenschutzrechtlich verantwortlichen Stellen, dürften Cloud-Services nur dann in Anspruch nehmen wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stellen in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutz- und Informationssicherheitsanforderungen geprüft haben (lassen).

Der Nutzen von Cloud Computing

Cloud-Computing hat organisatorische und wirtschaftliche Vorteile. Dazu zählen insbesondere die Skalierbarkeit und die verbrauchsabhängige Bezahlung von Rechenkapazitäten je nach Bedarf. Dies bietet großes Einsparpotenzial in den Bereichen Anschaffung, Betrieb und Wartung von IT-Systemen. Nicht zuletzt ermöglicht Cloud-Computing eine optimierte Verfügbarkeit von Geschäftsanwendungen unabhängig von geographischen Standorten.

Besondere datenschutzrechtliche Risiken

In der Orientierungshilfe werden den Vorteilen von Cloud-Computing entsprechend die datenschutzrechtlichen Schwerpunkte gelegt. Diese „cloud-spezifischen“ Risiken stehen freilich neben den klassischen, wie z.B. durch Schadsoftware oder Angriffe Dritter.

Der datenschutzrechtliche Ausgangspunkt ist, dass Cloud-Anwender verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes sind und damit die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen zu gewährleisten haben.

Gemäß § 3 Abs. 7 BDSG ist eine verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nimmt ein Cloud-Anwender von einem entsprechenden Anbieter nun Cloud-Services in Anspruch, so wird Letzterer als Auftragnehmer nach § 11 Abs. 2 BDSG tätig. Die Verantwortung für die Rechtmäßigkeit bleibt gemäß § 11 Abs. 1 BDSG beim Anwender.

Die datenschutzrechtlichen Schwerpunkte knüpfen bei dem möglichen Kontrollverlust des Anwenders über die Daten an, wenn sich die Datenverarbeitung nicht mehr vor Ort sondern ausgelagert in der „Cloud“ vollzieht und der Anwender selbst keinen konkreten Zugriff mehr auf die Daten hat. Ab dann kann es nur noch schwer nachvollziehbar sein, wo und auf welchen Systemen die Speicherung, Ausführung und Verarbeitung von Daten erfolgt. Die Unsicherheiten erhöhen sich, wenn der Cloud-Anbieter seine Dienstleistungen und Services selbst bei anderen Anbietern einkauft und damit die Transparenz verloren geht.

Mit der IT wird nicht die Verantwortung ausgelagert

Die Orientierungshilfe legt besonderen Schwerpunkt auf die Gefahr der verantwortlichen Stelle, ihrer datenschutzrechtlichen Verantwortung durch die Auslagerung der IT nicht mehr gerecht werden zu können. Die Stichworte lauten hier: Transparenz, Beeinflussung und Kontrolle der Datenverarbeitung.

Die Dokumentation und Protokollierung der Datenverarbeitungsprozesse erfolgt beim Cloud-Anbieter und ist daher für den Anwender meist intransparent, so dass eine wirksame Kontrolle der Einhaltung der datenschutzrechtlichen Pflichten schwierig ist: Könnten Daten, die am Standort X auf Wunsch des Anwenders durch den Anbieter berichtigt, gelöscht oder gesperrt wurden sind (§ 35 Abs. 1-3 BDSG) unverändert am Standort Y noch weiter existieren? Auch können vermeintlich als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG) wieder re-identifizierbar werden, wenn bei der Verarbeitung in der Cloud weitere Beteiligte hinzu treten, die über Zusatzwissen verfügen und eine Re-Identifizierung möglich machen.

Die verantwortliche Stelle läuft Gefahr, die Rechtmäßigkeit der gesamten Datenverarbeitung nicht mehr gewährleisten zu können, wozu sie aber gesetzlich verpflichtet ist. Die Orientierungshilfe erinnert dabei an eventuelle haftungsrechtliche Konsequenzen durch Schadensersatzforderungen der Betroffenen und mögliche Maßnahmen der Aufsichtsbehörden, wie Bußgelder und Anordnungen (§ 38 Abs. 5 BDSG), sollten Datenschutzbestimmungen nicht eingehalten werden.

Schwerpunkt: Datentransfers ins außereuropäische Ausland, insb. USA

Finden im Rahmen der Auslagerung von IT-Lösungen Datenverarbeitungen im außereuropäischen Ausland statt, dann gelten grundsätzlich die besonderen Anforderungen der §§ 4b, 4c BDSG. Für Cloud-Computing gelten daher keine Besonderheiten: Besteht in einem solchen „Drittland“ kein von der EU-Kommission anerkannt angemessenes Datenschutzniveau, muss die verantwortliche Stelle (also der Cloud-Anwender) das ausreichende Datenschutzniveau garantieren und vorweisen. Dies kann beispielsweise durch EU-Standardvertragsklauseln oder durch Binding Corporate Rules erfolgen. Der Cloud-Anbieter hat sich dabei zur Einhaltung des EU-Datenschutzniveaus zu verpflichten.

Seit langem gilt die Besonderheit des Safe-Harbor-Agreement mit den USA. Hier hat die Konferenz der Datenschutzbeauftragten nun erstmals konkrete Anforderungen zum Umgang mit US-Cloud-Anbietern festgelegt.

Das Safe-Harbor-Agreement privilegiert datenverarbeitende Unternehmen mit Sitz in den USA, wenn diese sich auf freiwilliger Basis gegenüber dem US-Handelsministerium zur Einhaltung der Safe-Harbor-Grundsätze durch eine Beitragserklärung verpflichten (Stichwort „Selbstzertifizierung“). Abschließend muss eine Datenschutzerklärung veröffentlicht werden. Dies reicht aus, ein „angemessenes Schutzniveau“ zu erlangen. Darüber hinaus muss sich der US-Cloud-Anbieter zur Kooperation mit den europäischen Datenschutzbehörden verpflichten.

Die Orientierungshilfe der Datenschutzbeauftragten verlangt bzw. empfiehlt (je nach Auslegung), dass Cloud-Anbieter und Cloud-Anwender nun eine vertragliche Vereinbarung treffen, die einer Auftragsdatenverarbeitung nach § 11 Abs. 2 BDSG entspricht und so die dort normierten Garantien Gegenstand des Vertrages werden.

Hintergrund ist u.a., dass keine flächendeckende Kontrolle der Selbstzertifizierungen in den USA gewährleistet ist. Sowieso entbehre die Zertifizierung nicht der eigenen Kontrolle. Deutsche Cloud-Anwender müssten vor der ersten Datenübermittlung an ein solches US-Unternehmen prüfen, ob bestimmte Mindestkriterien erfüllt sind. Dies fängt bei der Gültigkeitsprüfung des Zertifikats an und verpflichtet den Cloud-Anwender analog § 11 Abs. 2 Satz 3 BDSG, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Hervorzuheben ist, dass die oben genannten Anforderungen für alle Verträge zwischen US-Cloud-Anbietern und deutschen Cloud-Anwendern ohne Ausnahme gelten, also auch für schon bestehende Verträge. Da dies noch nicht eindeutig geregelt war, kann die Entschließung der Datenschutz-Aufsichtsbehörden die Anpassung einiger Verträge erforderlich machen.

Schwerpunkt: Technische und organisatorische Aspekte

Die Orientierungshilfe legt einen weiteren Schwerpunkt auf die technisch-organisatorische Infrastruktur. Die Entschließung der Datenschutz-Aufsichtsbehörden legt hier einige Mindest-Standards fest:

• Verfügbarkeit: personenbezogene Daten stehen zeitgerecht zur Verfügung und können ordnungsgemäß von autorisierten Benutzern verarbeitet werden.

• Vertraulichkeit: nur Befugte können personenbezogene Daten zur Kenntnis nehmen.

• Integrität: personenbezogene Daten bleiben während der Verarbeitung unversehrt, vollständig und aktuell. Die Funktionsweise der Systeme ist vollständig gegeben.

• Revisionssicherheit: es kann festgestellt werden, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat.

• Transparenz: die Verfahrensweise bei der Verarbeitung personenbezogener Daten ist vollständig, aktuell und in einer Weise dokumentiert, dass sie in zumutbarer Zeit nachvollzogen werden kann.

Die Mindestforderungen der Konferenz

In der Presseerklärung sowie dem Fazit der Entschließung der Konferenz der Datenschutz-Aufsichtsbehörden wurden nochmals die Mindestforderungen bei der Nutzung von Cloud-Computing-Dienstleistungen zusammengefasst. Zu verlangen sind danach mindestens

• offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt und andererseits Aussagen haben, um zwischen den Cloud- Anbietern wählen zu können;
• transparente, detaillierte und eindeutige vertragliche Regelungen der cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass z. B. wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter „umziehen“ kann;
• die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;
• aktuelle und aussagekräftige Nachweise (bspw. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere die Informationssicherheit, die Portabilität und die Interoperabilität betreffen.

Autoren:

Diplom-Jurist (univ.) Michael Stolze, LL.M. LL.M.

Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920

E-Mail-Kontaktformular

E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

• Der Beitrag ist eine Übersetzung unseres Artikels Datenschutz in der Türkei: Datenaustausch zwischen Deutschland und der Türkei (hier finden Sie auch eine türkische Fassung des Beitrags).
• Die vollständige englischsprachige Übersetzung finden Sie hier auf unserer englischsprachigen Webseite unter www.iitr.us.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

• Der Beitrag ist eine Übersetzung unseres Artikels Datenschutz in Dubai: das “DIFC Data Protection Law”.
• Die vollständige englischsprachige Übersetzung finden Sie hier auf unserer englischsprachigen Webseite unter www.iitr.us.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Hintergrund

Die Datenschutz-Aufsichtsbehörden hatten Ende November 2009 einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit war in der Praxis von der Verwendung von Google Analytics in den meisten Fällen abzuraten (siehe hierzu auch unseren Beitrag), bis Google später erste datenschutzkonforme Anpassungsmöglichkeiten vorstellte (vgl. den Beitrag hier).

Abschließender Lösungsvorschlag

Nun ist die Hamburger Datenschutz-Aufsichtsbehörde zu einer abschließenden Lösung mit Google gekommen und empfiehlt, für einen beanstandungsfreien Betrieb von Google Analytics folgende Maßnahmen umzusetzen (vgl. hierzu auch die entsprechende Pressemitteilung):

1. Auftragsdatenverarbeitungsvertrag abschließen: Webseiten-Betreiber müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen (der Vertrag kann hier heruntergeladen werden). Dabei ist zu beachten, dass der Webseitenbetreiber trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber ist und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend der Weisungen handelt (zur Kritik an dem Inhalt dieser Vereinbarung vgl. diesen Beitrag). Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten ein, bei denen Google den Webseitenbetreiber durch Vorlage entsprechender Nachweise unterstützt.
2. Datenschutzerklärung ergänzen: Der Webseitenbetreiber muss die Nutzer der Webseite in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Einen entsprechenden Textentwurf finden Sie am Ende dieses Beitrages.
3. Tracking-Code anpassen: Der Webseitenbetreiber muss durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen. Weitere Details können hier entnommen werden.

Die Hamburger Datenschutz-Aufsichtsbehörde weist zudem darauf hin, dass bislang über Google Analytics erhobene Altdaten gelöscht werden müssen. Google bietet hierfür nach Auskunft der Aufsichtsbehörde Hamburg nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Bitte beachten Sie, dass Sie dabei möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und Ihre Webseiten entsprechend anpassen müssen.

Vorschlag für eine angepasste Datenschutzerklärung

Wir haben den Text von Google Analytics um einige Zeilen (rot markiert) erweitert. Für Vollständigkeit und Richtigkeit übernehmen wir keine Gewähr.

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren [Link hier einfügen. Der aktuelle Link ist http://tools.google.com/dlpage/gaoptout?hl=de]. Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen.“

Autor:

Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920

E-Mail-Kontaktformular

E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Türkiye´nin Kişisel Verileri Korunması Alanındaki Bugüne Kadarki Durumu

Kişisel verilerin korunması alanında ilk başvurulabilecek kaynak Türk Anayasasıdır. Anayasa’nın dördüncü kısmının ikinci bölümünde “Özel Hayatın Gizliliği ve Korunması” başlığı altında yer alan 20. maddesine göre, “herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir”. Kişinin bu haklarını kullanabilmesi amacıyla Anayasanın 20/II fıkrası gereği, “kimsenin üstü, özel kâğıtları ve eşyası aranamayacağı gibi, bunlara el konulması da mümkün değildir”.

Anayasa Değişikliği Ile 20. Maddeye Eklenen Hüküm

Bu dolaylı kişisel veri korunması dışında Anayasa değişikliği ile Anayasanın 20. maddesine eklenen hükme göre,

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.

Kişisel Verilerin Türk Medeni Kanunu ve Türk Ceza Kanunu Uyarınca Korunması

Anayasanın hükümleri dışında Türk Medeni Kanununun bir kaç maddelerinde yer alan hükümler doğrultusunda “Kişilik Hakkının Korunması” başlığı altında da kişisel veriler korunabilir. Bunun yanı sıra Türk Ceza Kanunu uyarınca kişisel verileri hukuka aykırı işleyen kişilerin cezai sorumluluğu da söz konusudur.

Telekomünikasyon Alanında Elektronik Haberleşme Kanunu

Bu gelişmelerin yanı sıra, Telekomünikasyon alanında Elektronik Haberleşme Kanunu kabul edilmiştir. Bu kanundan evvel Bilgi Teknolojileri ve İletişim  Kurumu tarafından, “Telekomünikasyon Sektöründe Kişisel Bilgilerin Korunması Hakkında Yönetmelik” yayınlanmıştır. Yönetmelik, Telekomünikasyon alanında Avrupa Birliği tarafından çıkarılan direktifler göz önüne alınarak hazırlanmıştır.

Kişisel Verilerin Korunması Kanun Tasarısı

Kişisel verilerin korunması ile ilgili bir kanun tasarısı Bakanlar Kurulunca Nisan 2008 tarihinde kabul edilerek TBMM Başkanlığına gönderilmiştir. Ekim 2008 tarihinden itibaren mecliste kanunlaşma sırasını beklemektedir. Tasarıya genel olarak bakıldığında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin Avrupa Konseyi Konvansyonu ve Avrupa Birliği Veri Koruma Direktifi temel alınmıştır.

Kanun Tasarısının Amacı

Kişisel Verilerin Korunması Kanun Tasarısı (31.12.2008 tarihli ve 5.Mükerrer 27097 sayılı Resmi Gazete) öz olarak kişisel verilerin işlenmesinde kişinin özel hayatını korumayı amaçlamaktadır (KVKKT. m. 1). Düzenlemeler Türk Anayasasının 17. maddesinde ifade edilen kişinin dokunulmazlığı dogrultusu gereğince uyarlanmıştır. Tasarı genel olarak 95/EG/46 Avrupa Birliği Veri Koruma Direktifine uyum sağlamaktadır.

KVKKT 41 madde içermektedir ve ana ilkesi kişisel veriler hakkında özgürce karar verebilme ilkesidir. 6. madde uyarinca kişisel veriler ancak ilgili kişinin açık rızasıyla işlenebilir. Kişisel verilerin üçüncü kişilere aktarılması da ancak kısıtlı hukuki koşullar doğrultusunda gercekleşebilir.

Kişisel Verileri Koruma Kurulu

Tasarının 26. maddesinde bu kanunla verilen görevleri yapmak üzere Kişisel Verileri Koruma Kurulunun kurulacağına yer verilmiştir. Kurulun görev ve yetkilerine tasarının 31. maddesinde yer verilmiştir. Söz konusu kurul Almanya´da Federal Verileri Koruma Görevlisi örnek alinarak yapılmıştır.

Kurul, Bakanlar Kurulunca seçilen yedi üyeden oluşur. Kurul üyelerinin görev süresi altı yıldır. Üyelerin kişisel verileri koruma hususunda özel bilgiye sahip olmalari şart değildir. Tasarının 27. maddesi uyarınca üyelerin yükseköğrenim görmüş ve öğretim kurumlarında en az on yıl öğretim üyeliği yapmış veya özel veya kamu hizmetinde en az on yıl fiilen çalışmış olmaları şarttır.

Kurulun Bağımsızlığı

Kurul, yetkilerini bağımsız olarak kullanacaktır. Hiçbir organ, makam, merci ve kişi Kurulun kararını etkilemek amacıyla emir ve talimat veremez. Tasarının bu madde gerekçesinde kurul, diğer Avrupa Birliğine üye ülkelerdeki bağımsız kuruluşlar örnek alınarak yapıldığına yer verilmiştir.

Yurtdışına Bilgi Aktarımı

Kişisel veriler, ancak şu durumlarda yurtdışına aktarılabilir,

1. İlgili kişinin açık rızasının bulunması.
2. İlgili kişi ile veri kütüğü sahibi arasında bir sözleşmenin yapılması, sözleşme öncesi ilişkinin yürütülmesi veya sözleşmenin ifası için aktarımın gerekli olması.
3. Temel kamu yararının bulunması.
4. Bir hakkın tespiti, icrası veya korunması için yabancı ülkeye aktarımın gerekli veya kanun gereği zorunlu olması.
5. Veri konusu kişinin hayatı veya beden bütünlüğünün idamesi için aktarımın zorunlu olması.
6. Veri aktarımının, ilgili mevzuatın aradığı şartları yerine getirmek koşuluyla kamunun veya (ilgisini ispat eden) herkesin erişimine açık bulunan sicillerden yapılması hallerinde kişisel veriler yurtdışına aktarılabilir.

Almanya Ile Türkiye Arası Bilgi Aktarımı

Türkiye ile Almanya arası olası bilgi aktarımı ceza davaları çerçevesinde büyük önem taşımaktadır.

Ceza Davalarına Ilişkin Almanya Ile Türkiye Arası Bilgi Aktarımı

Almanya adalet bakanlığının 08.08.1997 tarihli Gießen idare mahkemesine verdiği bilgiye göre zaten ceza davalarına ilişkin Türkiye ile Almanya arası düzenli olarak bilgi aktarımı uygulanmaktadır.

Bu her iki ülkenin arasında kendi vatandaşlarına ilişkin cezai yargılamalarında ve bunun devamındaki federal adli sicilinde bulunan sabıka siciline işlenen bilgileri aktarmakta oldukları demektir.

Cezai Bilgilerin Içeriği

Verilen bilgiye göre cezai bilgilerin içeriği kişisel verilerin yanı sıra ilgili kişinin yargılama gününü ve işlediği suçun gününün tarihini kapsamaktadır. Ayrıca hüküm veren mahkemenin ismini ve davanın dosya işaretini, yargılandığı suçun kendisini ve işlediği suçtan dolayı ceza kanunu ve diğer ek kanunlar uyarınca hüküm gördüğü maddeleri içermektedir. Ayrıca da işlediği suçun niteliğini, verildiği cezanın yüksekliğini ve olası feri sonuçları ve feri suçları kapsamaktadır.

Cezai Bilgilerin Aktarımı Ancak Idari Anlaşmadır

Anlaşma ne federal adalet bakanlığı tarafından ne de federal adli sicilin yönetimi ile yetkili federal başsavcı tarafından yayımlanmıştır. Bundan dolayı cezai bilgilerin aktarımına ilişkin anlaşma en fazla Türkiye Cumhuriyeti ve Almanya Federal Cumhuriyeti arasında olan bir idari anlaşma olarak kabul edilebilir. 21.9.1984 tarihli Eğitim Sicili ve Merkez Sicili Kanunu cezai bilgi aktarımına ilişkin kanuni düzenleme içermemektedir.

Bilgi Verilmesine Ilişkin Kanuni Dayanak

Federal Adli Sicil Kanununun 57. maddesinde ilgili makamlara yürürlükteki kanun ve anlaşmalar uyarınca sicilden bilgi verilebileceği düzenlenmişitr.

Buna benzer bir düzenleme uluslararası ceza hukukuna ilişkin hukuki yardım kanununda bulunmaktadır. Adli Sicil Kanununun 57. maddesinde bu bilgi verme bir anlaşma olarak geçmesinden dolayı bir idari veyahut bir hükümet sözleşmesi olamaz. Milli hukuka yasalarca geçen anlaşmalar devletler hukuku antlaşmaları olarak anlaşılabilir. Federal Adli Sicil Kanununda geçen anlaşmalar şekli ve maddi yasalardan başka birşey değildir. Federal adli sicilinden bilgi aktarılmasının kanuni dayanağı Türkiye´de bulunmamaktadır.

Avrupa Ceza Hukukuna Ilişkin Hukuki Yardım Uzlaşması

Türkiye´ye 22.09.1969 tarihinde yürürlüğe giren 20.04.1959 tarihli Avrupa Ceza Hukukuna ilişkin Hukuki Yardım Uzlaşmasının 22. maddesince anlaşmaya tabi olan her ülke diğer ülkeyi kendi vatandaşlarına ilişkin cezai yargılamalarını ve bunun devamındaki sabıka siciline işlenen tedbirleri bildirme ile yükümlüdür. Adalet bakanlıkları birbirlerine bu bilgileri senede en az bir kere aktarmak zorundadırlar.

Hukuki Dayanağın Eksikliği

Milli bir kanuni dayanağın olmaması Türkiye ile olan düzenli bilgi aktarımını ilgili kişiye karşı kanundışı ve anayasaya aykırı kılar ve Alman makamlarının buna ilşikin faaliyetleri de ilgilinin kendi ülkesine iade edilmesini önler ve bu yüzden oldukça büyük bir geri kaçış nedeni oluşturabilir. Federal adli sicilinden bilgi aktarımı federal başsavcı tarafından mı veya adalet bakanlığı tarafından mı Türkiye´ye aktarılması cevapsız bırakılabilir.

Cezai Bilgi Aktarılması, Bir Devletler Hukuku Yükümlülüğü

Ilgili Türk vatandaşını Türkiye´ye iadesinde bu bilgi aktarımından dolayı oluşabilecek dezavantajlardan korunması ne açık ne de Federal hükümet veya adalet bakanlığı tarafından sunulmuştur. Ayrıca devletler hukuku antlaşmalarında gerekli olan bir kişisel verileri koruma koşulu bulunmamaktadır. Bundan hariç adalet bakanlığı ve federal başsavcı tarafından onaylandığı üzere bilgi aktarımı var olmaktadır ve bir ilgili kişi tarafından hakkın korunması talep edildiğinde göz önünde bulundurulmalıdır.

Avrupa Birliği Sınır Güvenliği Makamlarının Haberalma Ağı

AB Avrupa Birliği üyesi ülkelerinin ortak çalışmalarını sıkılaştırmaya ve sınır güvenliği ve kişilerin güvenliğini geliştirmeye yönelik çeşitli önlemler almıştır.

Güvenlik kurumlarının haber alma ağına ulaşabilmerine ve burdan bilgi alabilmelerine yönelik en önemli üç sistem şunlardır,

Schengen Bilgi Sistemi (SIS), Avrupa Vize Sistemi ve Avrupada sığınma arayan ve yasadışı göç eden kişilerin parmak izlerini karşılaştırmaya yarayan Avrupa Otomatik Parmak Izi Tanımlama Sistemi (EURODAC).

Bunun dışında da veri kütükleri arasındaki bilgi aktarımlarının geliştirilmesi amaçlanmaktadır.

Hukuki Dayanak

Bu bilgi sistemlerinin yönetimi çeşitli hukuki kaynaklara dayanmaktadır,

Schengen Bilgi Sistemi (SIS) Avrupa Birliği üyesi ülkelerinin resmi dairelerinin aralarında haber almalarına imkan sağlar ve Schengen Uygulama Sözleşmesi uyarınca zabıta tarıfandan uygulanan kişiler ya da kişisel eşyalar üzerine olan araştırmalarda bilgilerin toplanması, yönetilmesi ve paylaşılmasını sağlar.

Türkiye´nin Olası Ortaklığı

Özellikle Avrupa Birliğine komşu olan ve Türkiye gibi Schengen Antlaşması’na taraf olan ülkeler bu ortak çalışmaya dahil olmaya yatkın ülkelerdir.

Sonuç

Türkiye’de henüz kişisel verileri korumayı amaçlayan kanuni bir düzenleme bulunmamaktadır. Ancak Türkiye, uluslararası alanda kişisel verileri korumayı amaçlayan anlaşmaları imzalamış ve Kişisel Verileri Koruma Kanun Tasarısı ile kendi Kişisel Verileri Koruma Kanununa doğru ilk adımını atmıştır.

Cezai bilgi aktarımına ilişkin Almanya ile Türkiye arası federal adli sicilinden bilgi aktarımını yetkileyen bir kanuni düzenleme bulunmamaktadır. Ne federal adli sicili ne de 13.12.1959 tarihli Avrupa Birliği Sınır Dışı Edilmesi Uzlaşması ya da 3.11.1966 tarihli ceza hukukuna ilişkin hukuki yardım kanununun 20.04.1959 tarihli Avrupa Uzlaşması, yabancı ülkeye federal adli sicilinden düzenli olarak bilgi aktarımını yetkileyen bir düzenleme içermemektedir.

Almanya Federal Cumhuriyeti devletler hukuku uyarınca bilgi aktarımına tabi tutulmuştur fakat, bu yükümlülüğü kendi milli yasalarınca kanunlaştırmamıştır.

Avrupa Birligi üyesi ülkelerinin ortak çalışmalarını sıkılaştırmak ve kişi güvenliğini arttırmak amacıyla Türkiye Avrupa bölgesine yakınlığından dolayı kişisel verilerin aktarımı açışından ortak çalışmalara uygun bir ortaktır.

Autor:
Aysegül Özkan, Augsburg

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Bisherige Gesetzeslage im Bereich des Datenschutzrechts in der Türkei

In erster Linie schützt die türkische Verfassung persönliche Daten in seinem vierten Abschnitt des zweiten Teils unter der Überschrift „Geheimhaltung und Schutz des persönlichen Lebens“. In Artikel 20 beispielsweise ist verankert, dass jeder das Recht auf Rücksicht seines persönlichen, aber auch des Lebens seiner Familie hat. Im Absatz 2 des Artikels ist außerdem niedergeschrieben, dass die Vornahme von Leibesvisitationen, die Untersuchung oder Beschlagnahme von Dokumenten oder privaten Sachen ohne entsprechenden richterlichen Beschluss nicht durchgeführt werden dürfen.

Erweiterung des Artikels 20 im Zuge der Verfassungsänderung

Neben diesem mittelbaren Schutz personenbezogener Daten durch die Verfassung wurde der Artikel 20 im Zuge der jüngsten Verfassungsänderung um die folgende Textstelle erweitert:

„Jedermann hat ein Recht auf den Schutz seiner personenbezogenen Daten. Dieses Recht umfasst, dass jeder über die eigenen persönlichen Daten informiert wird, die Möglichkeit eines Zugriffs auf diese Daten besteht, Korrektur oder Löschung dieser Daten verlangt werden kann und man sich über den zweckmäßigen Gebrauch dieser Daten informieren kann. Die Verarbeitung der personenbezogenen Daten jedoch, wenn dies gesetzlich vorgesehen ist oder die Person deutlich darin eingewilligt hat, ist erlaubt.“

Schutz persönlicher Daten durch das tZGB und das tStGB

Außer durch verfassungsrechtliche Bestimmungen werden personenbezogene Daten außerdem in einigen Paragrafen des türkischen Zivilgesetzbuches unter dem Abschnitt „Schutz der persönlichen Rechte“ geschützt. Auch werden Verstöße gegen den Datenschutz durch das türkische Strafgesetzbuch sanktioniert.

Neues Gesetz auf dem Gebiet des Fernmeldewesens

Darüber hinaus wurde das Elektronische Kommunikationsgesetz auf dem Gebiet des Fernmeldewesens verabschiedet. Im Vorfeld dieses Gesetzes wurde eine „Bestimmung über den Schutz personenbezogener Daten im Bereich der Telekommunikation“ durch das Informationstechnologie- und Kommunikationsinstitut veröffentlicht. Die Bestimmung wurde im Hinblick auf die Regelungsakte der EU auf dem Gebiet der Telekommunikation vorbereitet.

Der Gesetzesentwurf zum Datenschutz

Im April 2008 wurde ein Gesetz mit dem deklarierten Ziel des Datenschutzes durch das Kabinett (Ministerrat) entworfen und an das Präsidium der Nationalversammlung weitergeleitet. Bereits seit Oktober 2008 wartet der Entwurf nun auf seine Kodifizierung.

Im Wesentlichen basiert der Gesetzesentwurf auf der Konvention des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und auf den Richtlinien der EU zum Datenschutz.

Ziel des Gesetzesentwurfs

Im Einzelnen bezweckt der „Gesetzesentwurf zum Schutz der persönlichen Daten – TDSG-E” (Az. 1/576, Abl. 27097 v. 31.12.2008) den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 TDSG-E). Die Regelungen stützen sich auf die durch Art. 17 der türkischen Verfassung gewährleistete Unantastbarkeit der Person. Dabei entspricht der Gesetzesentwurf im Wesentlichen der EU-Datenschutzrichtlinie 95/46/EG.

Herzstück des 41 Artikel umfassenden TDSG-E ist die datenmäßige Selbstbestimmung. Gemäß Artikel 6 bedarf die Verarbeitung persönlicher Daten grundsätzlich der Einwilligung des Betroffenen. Auch die Weitergabe an Dritte soll an enge gesetzliche Voraussetzungen geknüpft sein.

Der Datenschutzrat

Artikel 26 des Entwurfs sieht vor, dass ein Ausschuss zum Schutz personenbezogener Daten gegründet wird, welcher die ihm durch den Gesetzesentwurf zugewiesenen Aufgaben durchführt, die in Artikel 31 festgelegt werden. Er soll an das deutsche Modell des Bundesdatenschutzbeauftragen angelehnt sein.

Er setzt sich aus sieben Mitgliedern zusammen, die vom Ministerrat für eine Amtszeit von sechs Jahren gewählt werden. Eine besondere datenschutzrelevante Vorbildung ist für die Wählbarkeit nicht erforderlich. Art. 27 TDSG-E setzt lediglich einen Hochschulabschluss sowie 10-jähre Berufserfahrung in Wissenschaft oder Praxis voraus.

Unabhängigkeit des Gremiums

Die Ausübung der Kompetenzen durch den Ausschuss erfolgt dabei unabhängig. Kein Gremium, kein Amt, keine Behörde oder Person dürfen dem Ausschuss Anweisungen erteilen, um seine Entscheidungen zu beeinflussen. Ausgehend von der Gesetzesbegründung soll der Ausschuss durch diese Form der Weisungsfreiheit den unabhängigen datenschutzrechtlichen Institutionen der Mitgliedsländer der EU nachempfunden sein.

Datenübermittlung in das Ausland

Personenbezogene Daten dürfen nur in folgenden Fällen in das Ausland transferiert werden:

1. Die betroffene Person hat ihre Einwilligung erteilt.
2. Es wurde zwischen dem Betroffenen und dem Inhaber des übermittelnden Datenregisters ein Vertrag geschlossen und der Datentransfer ist notwendig, um die vorvertraglichen Beziehungen fortzuführen oder den Vertrag zu erfüllen.
3. Es liegt ein besonderes öffentliches Interesse vor.
4. Eine Datenübermittlung in einen Drittstaat ist erforderlich beziehungsweise gesetzlich vorgeschrieben, um ein Recht festzustellen, auszuüben oder zu schützen.
5. Der Datentransfer ist zum Schutze des Lebens und der körperlichen Integrität des Betroffenen unerlässlich.
6. Der Datentransfer erfolgt aus einem Register heraus, das für die Öffentlichkeit und für jedermann einsehbar ist, soweit die vom betreffenden Gesetz verlangten Voraussetzungen erfüllt sind.

Datenaustausch zwischen Deutschland und der Türkei

Interessant wird ein möglicher Datenaustausch zwischen der Türkei und Deutschland besonders im Rahmen von Strafverfahren.

Strafnachrichtenaustausch zwischen Deutschland und der Türkei

Aufgrund der Auskunft des Bundesministeriums der Justiz vom 08.08.1997 an das VG Gießen findet zwischen der Türkei und der Bundesrepublik Deutschland bereits ein regelmäßiger Strafnachrichtenaustausch statt.

Dies bedeutet, jeder Staat unterrichtet den anderen von allen dessen Staatsangehörige betreffenden strafrechtlichen (rechtskräftigen) Verurteilungen und nachfolgenden Maßnahmen, die in das Strafregister – beim Bundeszentralregister – eingetragen worden sind.

Inhalt der Strafnachricht

Inhalt der Strafnachricht sind nach dieser Auskunft neben den persönlichen Daten der Betroffenen das Datum der Verurteilung und der Straftat, die Bezeichnung des erkennenden Gerichts, das Aktenzeichen des Verfahrens, die zur Verurteilung gelangte Straftat nebst der entsprechenden Vorschrift des Strafgesetzbuches und sonstiger strafrechtlicher Nebengesetze sowie Art und Höhe der verhängten Strafe und eventuellen Nebenfolgen oder Nebenstrafen.

Austausch von Strafnachrichten allenfalls Verwaltungsvereinbarung

Die Vereinbarung selbst wurde weder vom Bundesministerium der Justiz noch vom Generalbundesanwalt – welcher für die Registerführung beim Bundeszentralregister zuständig ist – vorgelegt. Es ist insoweit davon auszugehen, dass es sich bei der Vereinbarung über den Austausch von Strafnachrichten allenfalls um eine Verwaltungsvereinbarung zwischen dem türkischen Staat und der Bundesrepublik Deutschland handelt. Eine entsprechende gesetzliche Regelung zum Strafnachrichtenaustausch enthält das Gesetz über das Zentralregister und das Erziehungsregister vom 21.9.1984 nicht.

Gesetzliche Grundlage über Erteilung von Auskunft

In § 57 BZRG ist lediglich geregelt, dass an Stellen eines anderen Staates nach den hierfür geltenden Gesetzen und Vereinbarungen Auskunft aus dem Register erteilt werden könne. Eine ähnliche Regelung enthält das Gesetz über die internationale Rechtshilfe in Strafsachen. Soweit in § 57 BZRG von Vereinbarung die Rede ist, kann es sich dabei nicht um reine Verwaltungsvereinbarungen oder Regierungsvereinbarungen handeln. Unter Vereinbarung sind insoweit völkerrechtliche Vereinbarungen zu verstehen, welche durch förmliches Gesetz in nationales Recht transformiert worden sind. Damit handelt es sich bei den Vereinbarungen nach § 57 BZRG um nichts anderes als um Gesetze im formellen und materiellen Sinne. Eine solche gesetzliche Grundlage für einen Nachrichtenaustausch aus dem Bundeszentralregister zum türkischen Staat liegt jedoch nicht vor.

Europäisches Übereinkommen über die Rechtshilfe in Strafsachen

Zwar regelt Artikel 22 des Europäischen Übereinkommens über die Rechtshilfe in Strafsachen vom 20.04.1959 – für die Türkei in Kraft getreten am 22.09. 1969 -, dass jeder Vertragsstaat den anderen von allen, dessen Staatsangehörige betreffenden strafrechtlichen Verurteilungen und nachfolgenden Maßnahmen, die in das Strafregister eingetragen worden sind, benachrichtigt. Hiernach haben die Justizministerien einander diese Nachrichten mindestens einmal jährlich zu übermitteln.

Fehlen einer Rechtsgrundlage

Fehlt es damit an einer innerstaatlichen Rechtsgrundlage, so erweist sich der turnusmäßige Strafnachrichtenaustausch mit der Türkei als rechtswidrig und grundrechtsverletzend in Bezug auf den Betroffenen und bildet durch aktives Zutun deutscher Stellen – wobei offen bleiben kann, ob die Strafnachrichten vom Bundeszentralregister, dem Generalbundesanwalt oder dem Bundesjustizministerium an die Türkei geliefert werden – einen beachtlichen Nachfluchtgrund, der eine Abschiebung des Betroffenen in sein Herkunftsland vereitelt.

Strafnachrichtenaustausch: eine völkerrechtliche Verpflichtung

Völkerrechtliche Vereinbarungen, welche dem betroffenen türkischen Staatsbürger bei einer Rückkehr in die Türkei einen entsprechenden Schutz vor Nachteilen durch diesen Nachrichtenaustausch gewährleisten, sind weder ersichtlich noch von der Bundesregierung – dem Bundesministerium der Justiz – vorgetragen worden und fehlt es weiter in den völkerrechtlichen Verträgen an der notwendigen Datenschutzklausel. Unabhängig davon findet jedoch, wie vom Bundesministerium der Justiz und vom Generalbundesanwalt bestätigt, ein derartiger Nachrichtenaustausch statt und ist bei der Beurteilung des Rechtsschutzbegehrens zu beachten.

Informationsvernetzung der europäischen Grenzschutzbehörden

Im Hinblick auf die Intensivierung der Zusammenarbeit der Mitgliedstaaten und der Entwicklung eines integralen Grenzschutzes bei der Personenkontrolle hat die EU eine Fülle von Maßnahmen entwickelt.

Bezüglich der Informationsvernetzung sind in erster Linie drei Systeme zu nennen, auf die die Sicherheitsbehörden Zugriff erhalten: das Schengener Informationssystem (SIS), das europäische Visa-Informationssystem (VIS) und die europaweite biometrische Datenbank für den Vergleich von Fingerabdrücken von Asylbewerbern und illegalen Migranten (EURODAC). Ferner soll der Informationsaustausch zwischen nationalen Datenbanken verbessert werden.

Rechtsgrundlage

Die Administration dieser Informationssysteme beruht auf unterschiedlichen Rechtsgrundlagen:

Das Schengener Informationssystem (SIS) ermöglicht den Behörden der Mitgliedstaaten den Zugriff auf eine dialoggesteuerte Datenbankanwendung zur Bereitstellung und Verwaltung von Datensätzen zur polizeilichen Fahndung nach Personen und Sachen gemäß dem Schengener Durchführungsübereinkommen (SDÜ).

Türkei als möglicher Partner

Insbesondere die an die EU angrenzenden Staaten und die Türkei, die ohnehin bereits dem Schengen-Raum angenähert ist, sind naheliegende Partner für eine erweiterte Zusammenarbeit.

Fazit

In der Türkei gibt es bisher noch keine gesetzliche Regelung, welche den Schutz persönlicher Daten zum Gegenstand hat. Jedoch hat die Türkei auf der internationalen Ebene die Verträge zum Datenschutz unterzeichnet und durch den Gesetzentwurf zum Schutz personenbezogener Daten einen ersten Schritt in Richtung eines eigenen Datenschutzgesetzes getan.

Hinsichtlich eines Strafnachrichtenaustauschs zwischen Deutschland und der Türkei fehlt eine entsprechende gesetzliche Regelung zur Ermächtigung der Übermittlung aus dem Bundeszentralregister. Weder das Bundeszentralregistergesetz noch das Gesetz zu dem Europäischen Auslieferungsübereinkommen vom 13.12.1959 und dem Europäischen Übereinkommen vom 20.4.1959 über die Rechtshilfe in Strafsachen vom 3.11.1964 enthalten Ermächtigungen, Auszüge aus dem Bundeszentralregister an einen ausländischen Staat als Regelübermittlung zukommen zu lassen.

Insoweit hat die Bundesrepublik Deutschland sich zwar völkerrechtlich zu einem Strafnachrichtenaustausch verpflichtet, diese Verpflichtung nationalstaatsrechtlich jedoch nicht umgesetzt.

Im Bezug auf die Intensivierung der Zusammenarbeit der Mitgliedstaaten im Bereich des Grenzschutzes und der Personenkontrolle ist die Türkei durch die Nähe an den europäischen Raum ein naheliegender Partner für eine engere Zusammenarbeit hinsichtlich des Datenaustauschs.

Autor:
Aysegül Özkan, Augsburg

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Dubai als Teil der VAE

Die Vereinigten Arabischen Emirate (VAE) sind eine Föderation von sieben Emiraten, darunter auch das Emirat Dubai. Das gemeinsame Bundesrecht der VAE regelt Auswärtige Angelegenheiten, Polizei, Verteidigung, Geheimdienst, Verkehrswesen, Erziehung, Gesundheitspolitik, Währung, Pass- und Ausländerrecht. Jedoch üben die einzelnen Emirate auch auf diese Politikfelder großen Einfluss aus; erst Recht gilt dies in ihren eigenen Kompetenzfeldern. Das Bundesrecht, aber auch das Recht der einzelnen Emirate unterliegt im Grundsatz der folgenden Normenhierarchie: 1. Verfassung, 2. Bundes- und Emiratsgesetzgebung, 3. Schari’a, 4. Handelsbräuche und Praxis. Nach Saudi-Arabien sind die VAE die zweitgrößte Volkswirtschaft der Region.

Datenschutzregelungen in Dubai

In Dubai selbst sind Handel, Tourismus, Finanzdienstleistungen, Luft- und Frachtverkehr nur einige der dort bedeutenden Wirtschaftssektoren. Der Emir von Dubai rief am 16. Februar 2002 das Dubai International Financial Centre (DIFC) ins Leben. Dafür gilt innerhalb der DIFC ein Sonderrecht, das u.a. auch ein Datenschutzgesetz beinhaltet.

Auslegungsrahmen: Verfassung der VAE

Als Auslegungsgrenze dieses Datenschutzgesetzes ist die Verfassung der VAE zu berücksichtigen. Sie selber sieht kein eigenes Grundrecht auf informationelle Selbstbestimmung vor. Dennoch gilt nach Artikel 26 der Verfassung die Freiheit der Person; aus der sich Teilaspekte des Datenschutzes ergeben können.

Gestaltung des DPL-DIFC 07

Das DPL-DIFC 07 ist übersichtlich gestaltet. Es besteht aus 35 so genannten „Articles“, die in ihrem Umfang den deutschen Paragraphen (§§) ähneln. Hinzutritt ein so genannter „Schedule“ mit drei weiteren „Articles“. Insgesamt erinnert das Regelungskonzept an die angelsächsische Gesetzgebung, insbesondere an den britischen Data Protection Act 1998 (im Folgenden als „DPA 1998“ bezeichnet).

Das DPL-DIFC 07 im Überblick

An weniger bedeutende Ordnungsvorschriften, etwa zur Zitierweise oder Anwendbarkeit („Articles“ 1 bis 7 DPL-DIFC 07), schließen sich allgemeinverbindliche Regeln zur Zulässigkeit einer Datenverarbeitung („Articles“ 8 bis 10 DPL-DIFC 07) an. Darauf folgen Vorschriften zum Datentransfer ins Ausland („Articles“ 11 bis 12 DPL-DIFC 07), zu Transparenzpflichten („Articles“ 13 bis 14 DPL-DIFC 07), zu Sicherheitsfragen („Articles“ 15 bis 16 DPL-DIFC 07) und zu den Rechten der Betroffenen („Articles“ 17 bis 18 DPL-DIFC 07); mit Ausnahme des Schadenersatzanspruches, der in „Article“ 35 DPL-DIFC 07 geregelt ist. Danach räumt der DPL-DIFC 07 dem Thema Aufsichtsbehörde einen vergleichsweise großen Raum ein („Articles“ 19 bis 33 DPL-DIFC 07). „Article“ 34 DPL-DIFC 07 regelt die Zugangsmöglichkeit zu Gericht. Darauf folgt das „Schedule“ mit erläuternden Vorschriften.

Aufbau des DPL-DIFC 07

• Das DPL-DIFC 07 ist wie folgt aufgebaut:
• Part 1 (Articles 1 – 7): GENERAL
• Part 2 (Articles 8 – 16): GENERAL REGULATIONS ON THE PROCESSING OF PERSONAL DATA
• Part 3 (Articles 17 – 18): RIGHTS OF DATA SUBJECTS
• Part 4 (Articles 19 – 20): NOTIFICATIONS TO THE COMMISSIONER OF
• DATA PROTECTION
• Part 5 (Articles 21 – 31): COMMISSIONER OF DATA PROTECTION
• Part 6 (Articles 32 – 35): REMEDIES, LIABILITY AND SANCTIONS SCHEDULE

„Articles“ 8 bis 16: Allgemeine Regelungen

Dieser Abschnitt kann als Allgemeiner Teil des Datenschutzrechts bezeichnet werden. „Article“ 8 DPL-DIFC 07 regelt die Datenschutzprinzipien; etwa den Zweckbindungsgrundsatz oder die Datenrichtigkeit. Auffällig sind die Ähnlichkeiten zum Wortlaut des britischen DPA 1998. Zudem lässt sich festhalten, dass die Datenschutzprinzipien in einigen Teilen denen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr teilweise wortgenau übernommen wurden.

So regelt „Article“ 8 DPL-DIFC 07 die folgenden Datenschutzprinzipien:

• Verarbeitung nach Recht und Gesetz, Treu und Glauben („Article“ 8 (1) (a))
• Zweckbindungsgrundsatz („Article“ 8 (1) (b))
• Datenrichtigkeit („Article“ 8 (1) (c) (d), (2))
• Datensparsamkeit (v.a. in zeitlicher Hinsicht) („Article“ 8 (1) (e))

Verbot mit Erlaubnisvorbehalt

„Article“ 9 DPL-DIFC 07 installiert das Verbot mit Erlaubnisvorbehalt. In der Vorschrift heißt es: „Personal Data may only be processed if”. Mithin gilt auch hier der europäische Grundsatz des Regel-Ausnahme-Prinzips: danach sind Datenverarbeitungen grundsätzlich unzulässig und nur ausnahmsweise gerechtfertigt, nämlich wenn der Betroffene entweder eingewilligt hat oder das Gesetz die Verarbeitung erlaubt.

Einwilligung muss schriftlich erteilt werden

Eine Einwilligung kommt nach dem Datenschutzrecht in Dubai nur dann als Erlaubnisgrund in Betracht, wenn sie schriftlich erteilt wird („Article“ 9 (1) (a) DPL-DIFC 07).

Datenverarbeitung ohne Einwilligung

Es gibt daneben vier einwilligungsunabhängigen Tatbestände („Article“ 9 (1) (b) – (f) DPL-DIFC 07). Diese lassen sich dahingehend zusammenfassen, dass eine Verarbeitung ohne Einwilligung nur zulässig ist, wenn überwiegende Interessen Dritter oder des Allgemeinwohls dies rechtfertigen. „Article“ 10 DPL-DIFC 07 verengt diese Erlaubnistatbestände für die Kategorie der sensiblen Daten, ähnlich wie unter dem Regime der europäischen Datenschutzrichtlinie.

Regelung des technischen Datenschutzes

Von herausragender Bedeutung ist zudem „Article“ 16 DPL-DIFC 07. Hiernach ist jede verantwortliche Stelle verpflichtet, „appropriate technical and organizational measures to protect Personal Data against wilful, negligent, accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access and against all other unlawful forms of Processing, in particular where the Processing of Personal Data is performed pursuant to Article 10 or Article 12 above” einzurichten. Die Parallelen zu den europäischen Vorgaben sind hier unübersehbar.

Rechte der Betroffenen

Die Rechte der Betroffenen sind in den „Articles“ 17 – 18 DPL-DIFC 07 geregelt. Sie umfassen das Recht auf Auskunft, Berichtigung, Löschung und Sperrung („Article „17 DPA-DIFC 07). Die Voraussetzungen entsprechen im Wesentlichen den europäischen Standards (Artt. 12 ff. Datenschutzrichtlinie). Eine Löschung ist jedenfalls erforderlich, wenn die Speicherung unzulässig ist.

Datenschutz-Aufsicht in Dubai

Teile 4 und 5 des DPL-DIFC 07 widmen sich der Aufsichtsbehörde, die in Dubai als „Commissioner of Data Protection“ bezeichnet wird. Die „Articles“ 21 bis 24 DPL-DIFC 07 setzen sich mit den Aufgaben und Beginn und Ende der Amtszeit des Commissioner auseinander. „Article“ 25 DPL-DIFC 07 umschreibt die grundsätzlichen Befugnisse der Aufsichtsbehörde. Hierbei hat sie viele Einzelbefugnisse (etwa ein eigenes Klagerecht in „Article“ 25 (3) (d) DPL-DIFC 07).

Von Bedeutung ist zudem „Article“ 25 (4) DPL-DIFC 07. Dort heißt es: „The Commissioner of Data Protection has power to do whatever he deems necessary, for or in connection with, or reasonably incidental to, the performance of his functions.“

Fazit

Das im Jahr 2007 geschaffene Datenschutzrecht in Dubai wurde stark an das europäische Recht angelehnt. Unterschiede gibt es bei der Ausführlichkeit der gesetzlichen Regelungen: im DPL-DIFC 07 sind Generalklauseln und kurze Normen die Regel; in europäischen Gesetzen ist dies eher die Ausnahme. Dubai wählt mit diesen gesetzlichen Regelungen einen für die Region interessanten Schritt zur Stärkung der eigenen Wirtschaftsregion, da langfristig die Auslagerung von Datenverarbeitungsprozessen aus Europa in vergleichbar regulierte Regionen einfacher möglich sein sollte.

Autor:
Rechtsreferendar Dr. Stephan Gärtner, Berlin.

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Einführung in datenschutzrechtliche Themenstellungen

Am Vormittag führten die Referenten Herr Dr. Thilo Weichert (Leiter des ULD), Herr Professor Dr. Utz Schliesky (Direktor des schleswig-holsteinischen Landtages), Herr Dr. Christian Grugel (Abteilungsleister Verbraucherpolitik im BMELV) und Herr Lars Reppesgaard (Buchautor) kurz in datenschutzrechtliche Themenstellungen ein.

Spannungsfeld Entfaltungsfreiheit und Schutz der Persönlichkeitsrechte

Herr Dr. Weichert schilderte das generelle Spannungsfeld datenschutzrechtlicher Regelungen zwischen Entfaltungsfreiheit und dem Schutz der Persönlichkeitsrechte. Besonderes Augenmerk richtete er auf die Datenübermittlung in die USA sowie die Verarbeitung personenbezogener Daten durch US-Unternehmen und kritisierte hierbei die „Unzuständigkeitsausflüchte“ der Unternehmen. Zudem kritisierte er die Intransparenz der Verarbeitung personenbezogener Daten bei Webdiensten (vgl. hierzu die Diskussion um den Facebook Like Button) und forderte eine Art „Herstellerhaftung“ für IT-Unternehmen hinsichtlich datenschutzkonformer Datenverarbeitungsstandards (vgl. vertiefend die Eröffnungsrede von Herrn Dr. Weichert).

Verantwortung des mündigen Bürgers

Herr Professor Dr. Schliesky unterstrich die Verantwortung des mündigen Bürgers im Umgang mit seinen Daten und ging im Folgenden vertieft auf das Theme eGovernment, verwendete Begrifflichkeiten und staatsrechtliche Aspekte (Stichwort „Systemverantwortlichkeit“) insbesondere beim Ensatz von Drittdienstleistern durch die öffentliche Hand ein (vgl. vertiefend das E-Governement Gesetz für Schleswig Holstein und den Vortrag von Herrn Professor Dr. Schliesky).

Offen: Rechtsdurchsetzung im Internet

Herr Dr. Grugel vom BMELV thematisierte die offene Frage der Rechtsdurchsetzung im Datenschutz und widmete sich im Schwerpunkt dem Thema der sozialen Netzwerke (vgl. vertiefend den Vortrag von Herrn Dr. Grugel).

“Greenpeace für Datenschutz”

Als letzter Einzelredner am Vormittag sprach Herr Reppesgaard, der vor allem die Konzerne im Umgang mit personenbezogenen Daten kritisierte und die Schaffung einer Organisation „Greenpeace für Datenschutz“ („Datapeace“ genannt) forderte. Zudem sei davon auszugehen, dass die eigentlichen Datenkatastrophen noch kommen würden (vgl. vertiefend den Vortrag von Herrn Reppesgaard).

Themensetzung und Selbstverständnis von deutschen Datenschutzregelungen 

In der anschließenden Podiumsdiskussion (vgl. vertiefend auch die Pressemitteilung des ULD hierzu), an der auch Herr Dr. Peter Fleischer, Global Privacy Counsel von Google, teilnahm, wurden insbesondere grundlegende Fragen über Bedeutung, Themensetzung und Selbstverständnis von deutschen Datenschutzregelungen diskutiert (so zum Beispiel die zugespitzte Frage eines Teilnehmers, ob „am deutschen Wesen das Internet genesen solle“ oder ob nicht vielmehr „eine Genesung des deutschen Wesens am Internet“ wünschenswert sei).

“Privacy by prohibition”

Herr Dr. Fleischer unterstrich das Bemühen von Google, den gesetzlichen Bestimmungen von nahezu 200 Ländern zu entsprechen, führte indes auch aus, dass der Blick im Ausland auf den deutschen Datenschutz (in Anlehnung an die Schlagworte „privacy by design“ und „privacy by default“) häufig mit „privacy by prohbition“ umschrieben werde. Herr Dr. Fleischer betonte, dass die Diskussion um Google Analytics in den nächsten Wochen mit einer anerkannt rechtskonformen Lösung beendet werden solle.

Datenschutzregelungen an die Realität des Internets anpassen

Herr Dr. Weichert unterstrich seine Forderung, dass die Datenschutzregelungen an die Realität vor allem des Internets angepasst werden müssten, betonte aber auch seinen Standpunkt, dass ausserhalb der EU beim Datenschutz mit wenigen Ausnahmen „Anarchie“ herrsche und daher ein „reguliertes Verantwortungsmanagement“ durch die EU erstrebenswert sei.

Workshop „Datenschutz neu denken”

In den anschließenden Workshops und Infobörsen hatten die Besucher die Möglichkeit, nach jeweiligem Interessenschwerpunkt vertiefende Veranstaltungen zu besuchen.

Im Workshop „Datenschutz neu denken“ skizzierten die Referenten in Kurzvorträgen ihr jeweiliges Bild vom Datenschutz, wobei die Unterschiede zwischen der Betonung der Freiheit des Individuums im Umgang mit seinen Daten und dem Ansatz, das Individuum durch staatliche Maßnahmen quasi „vor sich selbst“ schützen zu wollen, deutlich hervortraten.

Was wollen die Bürger eigentlich?

Herr Dr. Helmut Bäumler, ehemaliger Leiter des ULD, forderte eine Rückbesinnung auf die Fragstellung, was die Bürger eigentlich wollten und Herr Jürgen Kuri, stellvertretender Chefredakteur der c’t, führte aus, dass die Freiheit des Menschen wieder stärker in den Vordergrund der Diskussion gerückt werden müsse. Zudem berge die zunehmende Verrechtlichung des Datenschutzes die Gefahr, dass die gesellschaftlichen Auswirkungen datenschutzrechtlicher Regelungen nicht ausreichende berücksichtigt würden.

Stärkung der Selbstregulierung

Herr Jan Kottmann, Leiter Medienpolitik und European Policy Counsel der Google Germany GmbH, forderte eine stärkere Differenzierung in Datenarten und kritisierte das Prinzip des „Verbots mit Erlaubnisvorbehalt“. Zudem forderte er eine Stärkung der Selbstregulierung, um mit der Geschwindigkeit technischer Entwicklungen angemessen Schritt halten zu können. Er regte zudem eine Umgestaltung der Landesdatenschutzaufsichtsbehörden in eine den Landesmedienanstalten vergleichbare Struktur an, um in der Datenschutzaufsicht zu einer einheitlicheren und für Unternehmen damit verlässlicheren Linie zu gelangen.

Welche Aufgabe hat der Datenschutz?

Herr Martin Rost vom ULD stellte in seinem Statement vor allem die Frage in den Vordergrund, welche gesamtgesellschaftliche und aus seiner Sicht demokratienotwendige Aufgabe der Datenschutz erfülle.

Social Media und Cloud Computing

Bei den Teilnehmern großes Interesse weckten auch die Beiträge von Herrn Dr. Moritz Karg (ULD) und Herrn Sven Thomsen (ULD) zum Thema „Social Media in Organisationen“ und von Frau Ninja Marnau (ULD) und Frau Eva Schlehahn (ULD) zum Thema „Vertrauenswürdiges Cloud Computing“.

Weitere Workshops und Infobörsen

Die ebenfalls sehr lesenswerten Folien zu den übrigen Workshops und Infobörsen „Informationszugang/Open Data/Open Government vs. Amtsgeheimnis“, „Fehlerquellen in der Datenverarbeitung ─ Die Haftungsfalle schnappt zu“, „Verantwortung im Sicherheitsbereich“, „Privates Inkasso für die öffentliche Hand“, „Smart Meter und Smart Grid“ und „Wenn andere Daten verarbeiten ─ von A(uftragsdatenverarbeitung) bis Z(ertifizierung)“ wurden im Internet veröffentlicht (durch Klick auf den jeweiligen Vortrag).

IT-Verantwortung in Schleswig-Holstein

Die Veranstaltung schloss mit einer Vorstellung der in den Workshops erarbeiteten Ideen und ging in einer abschließenden Diskussion auf das Thema „IT-Verantwortung in Schleswig-Holstein“ ein.

Fazit

Die mit großem Engagement des ULD organisierte Sommerakademie hat aus meiner Sicht einen Überblick über die aktuellen Datenschutzthemen gegeben. Gerade in den Podiumsdiskussionen wurde dabei das breite Meinungsspektrum über das Ob und Wie datenschutzrechtlicher Regelungsansätze deutlich. Daneben entwickelt sich die Sommerakademie immer mehr zum inoffiziellen Branchentreffen für Datenschutzbeauftragte und norddeutsche Aufsichtsbehörden, die sich über aktuelle Datenschutzthemen austauschen können.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Hintergrund

Die Datenschutz-Aufsichtsbehörde in Schleswig-Holstein hat am 19. August 2011 per Pressemitteilung veröffentlicht, dass nach ihrer Ansicht die Einbindung des Facebook Like Buttons datenschutzwidrig sei. In einer Passage des in diesem Zusammenhang durch die Aufsichtsbehörde erstellten Gutachtens wurde zudem ausgeführt, dass wohl auch eine Einwilligung keine ausreichende Grundlage bilden könne (S. 20 ff.).

Wer ist betroffen?

Die Entscheidung der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein hat zunächst Bedeutung für in Schleswig-Holstein ansässige Unternehmen und Webseitenbetreiber. Die Behörde gab an (vgl. das entsprechende Youtube-Interview), mit der Maßnahme nicht „den kleinen Webseitenbetreiber“ sondern Facebook im Visier zu haben. Die Entscheidung hat keine direkte Auswirkung auf Unternehmen in anderen Bundesländern. Allerdings hat sich mittlerweile auch die niedersächsische Aufsichtsbehörde der Rechtsauffassung der Kieler Kollegen angeschlossen, vgl. “Information für Webseitenbetreiber mit Sitz in Niedersachsen” und “Friesland schaltet Facebook-Seite ab“.

Reaktion

Sowohl die datenschutzrechtliche Einschätzung als auch die Art und Weise des Vorgehens stehen in Frage (vgl. zum Beispiel unseren Artikel (“Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen“) oder auch die Beiträge der Kollegen Schmidt (“Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht?“), Stadler (“Wie geht es weiter mit dem Datenschutz?“) und Härting (“Öffentlichkeitsarbeit einer Landesbehörde: Warum die „Facebook-Kampagne“ des ULD verfassungswidrig ist“) sowie die Pressemitteilung der Landesregierung Schleswig-Holstein (“Facebook und Datenschutz: Chef der Staatskanzlei Dr. Wulff spricht mit Landesbeauftragtem für Datenschutz – Bürgerbeteiligung weiter stärken“)).

Lösungsvorschlag

In Folge der Diskussion wurde das von Herrn Jens Ferner (schon seit einiger Zeit im Einsatz befindliche) Zusatz-Plugin von der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein für im Grundsatz zulässig erachtet: dieses Tool „aktiviert“ den Facebook Like-Button erst nach dem Klick auf eine entsprechende Einwilligung (weitere Details zu diesem Tool finden sich hier).

Was sollten Webseitenbetreiber beachten?

1. Die datenschutzrechtliche Zulässigkeit ist nach wie vor umstritten. Es gibt gute Argumente für beide Seiten. Höherinstanzliche Gerichtsurteile zu den in Frage stehenden Aspekten existieren bislang nicht. Beobachten Sie daher die weitere rechtliche Entwicklung (bspws. über unseren Newsletter).
2. Neben der Möglichkeit einer Auseinandersetzung mit der Datenschutz-Aufsichtsbehörde sollten Sie auch die wettbewerbsrechtliche Seite (sprich das (ebenfalls umstrittene) Abmahnrisiko) in Ihre Entscheidung über den Einsatz des Facebook Like Buttons mit einfließen lassen.
3. Gerade Webseiten-Betreiber in Schleswig-Holstein und Niedersachsen sollten eine Anpassung des Facebook-Like Buttons in Erwägung ziehen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.