“Das revidierte abgabenrechtliche Kontenabrufverfahren und das Recht auf informationelle Selbstbestimmung”

verliehen.

In der von Dekan Professor Dr. Phillip Hellwege gehaltenen Laudatio heißt es über die Arbeit:

“Herr Wilhelm analysiert in seiner Arbeit das informationelle Selbstbestimmungsrecht im abgabenrechtlichen Kontenabrufverfahren und entwickelt es synthetisch weiter. Sein Ausgangspunkt ist die positive Sozialanthropologie des Grundgesetzes, wie sie in der Präambel und im Grundrechtskatalog zum Ausdruck kommt. Er erkennt hierin zwei Dimensionen, eine philosophische und eine rechtliche, die er auf höchst originelle Weise miteinander verbindet.

Ausgehend von einem dualistischen Menschenbild, steht dem Autor zufolge auf der einen Seite dessen Seinsgegebenheit, die von der Verfassung essentiell garantiert wird, auf anderen Seite die Individuation innerhalb der gesellschaftlichen Strukturen, die anhand der allgemeinen Handlungsfreiheit ihre rechtliche Referenz erhält. Im allgemeinen Persönlichkeitsrecht fallen diese Ebenen des Mensch-Seins nicht nur zusammen. Vielmehr werden sie in diesem Spannungsfeld stets aktualisiert. Gleichzeitig bedarf das Mensch-Sein einer originären Gabe, der Vernunft, um seine Subjektivität und damit seine Freiheit, bewahren zu können. Damit bleibt nach Auffassung des Autors das allgemeine Persönlichkeitsrecht zunächst Referenzpunkt und zudem maßgebliche Quelle für deren extensionale Ausprägung, der informationellen Selbstbestimmung, denn die „Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“.

Die permanente technologische Transformation auf dem Gebiet der elektronischen Datenverarbeitung birgt die Gefahr in sich, das Individuum umfassend zu kontrollieren und somit dessen Freiheitsanspruch zu unterlaufen. Herr Wilhelm betont deswegen die Bedeutung des Schlüsseldatums, das sich beispielsweise in der sog. Steueridentifikationsnummer wiederfindet, und ergänzt das Eingriffsverständnis um eine zusätzliche Konnotation.

Wie der Autor detailliert nachweist, wird hierzulande zunehmend die Tendenz sichtbar, den Steuerbürger zum Steueruntertan zu reduzieren. Das abgabenrechtliche Kontenabrufverfahren steht exemplarisch für diese Tendenz. Ursprünglich primär zur Überprüfung der Angaben des Steuerpflichtigen im Rahmen seiner Kapitalgeschäfte gedacht, wurde es im Zuge der Unternehmensteuerreform 2008 im Wesentlichen durch die Abgeltungsteuer ersetzt, welche die Einnahmen des Staates an der Quelle generiert, und deswegen auf die Ehrlichkeit des Steuerbürgers nicht mehr angewiesen wäre. Der Gesetzgeber hat Herrn Wilhelm zufolge die Chance nicht genutzt, das Verfahren abzuschaffen, sondern deren Transformation, nämlich die Ermittlung von Konten und Wertpapierdepots für eine mögliche Vollstreckung, vorangetrieben. Mit diesem Schritt hat er, wie Herr Wilhelm überzeugend darlegt, die Leitlinie des Bundesverfassungsgerichts ignoriert, die Besteuerung der Kapitaleinkünfte entweder durch eine Kontrolle der Erklärung oder einem Quellenabzug sicherzustellen.

Insgesamt handelt es sich um eine wegweisende Arbeit, die mit einer außergewöhnlich originellen Gedankenführung eindrucksvoll belegt, dass dem galoppierenden Steuerstaat dringend stärkere verfassungsrechtliche Zügel angelegt werden müssen.”

Wir gratulieren Herrn Dr. Wilhelm herzlich zu der außerordentlichen Dissertation.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

• Text des Entwurfs der EU-Datenschutzverordnung (englische Fassung)
• Text des Entwurfs der EU-Datenschutzverordnung (deutsche Fassung)
• Pressemitteilung der EU-Kommission mit kompakter Übersicht der Neuregelungen (deutsche Fassung)
• Vertiefende Informationen der EU-Kommission zum Entwurf der EU-Datenschutzverordnung (englische Fassung)

Anders als die momentane Regelung über eine EU-Richtlinie zum Datenschutz und entsprechende nationale Gesetze würde eine EU-Datenschutzverordnung vergleichbar nationalem Recht sofort und unmittelbar (in allen EU-Mitgliedsstaaten) Geltung erhalten (zur genaueren Differenzierung zwischen Richtlinie und Verordnung hier).

Der Entwurf der EU-Datenschutzverordnung wird nun zur weiteren Verhandlung an das Europäische Parlament übergeben. Angesichts der Vielzahl der betroffenen Interessengruppen und den erwarteten wirtschaftlichen und politischen Auswirkungen wird allgemein mit einer Verhandlungszeit von mindestens zwei Jahren gerechnet. In dem aktuellen Entwurf ist zudem die Anwendung der EU-Datenschutzverordnung erst nach zwei Jahren nach Inkrafttreten vorgesehen – so dass mit Änderungen für Unternehmen allgemein frühestens in vier Jahren gerechnet wird. Es bleibt abzuwarten, welche Regelungen letztlich Bestand haben werden.

Besondere Beachtung verdienen insbesondere die folgenden Reaktionen auf den Entwurf der EU-Datenschutzverordnung:

• Ein Abschied von den Grundrechten; Artikel von RiBverfG Herrn Professor Dr. Johannes Masing in der Süddeutschen Zeitung vom 9. Januar 2012
• Innenminister Friedrich widerspricht EU-Plänen zur Datenschutzmodernisierung; Beitrag auf heise.de vom 15. Januar 2012
• Schaar sieht Licht und Schatten bei EU-Plänen zum Datenschutz; Beitrag auf heise.de vom 17. Januar 2012
• Dialogmarketer fürchten Datenschutz-Pläne der EU; Beitrag auf horizont.net vom 19. Januar 2012
• Wirklichkeitsfern, Detailverliebt, Kontrollversessen: EU-Kommission möchte Datenschutz neu regeln – eine erste Einschätzung; Blog-Beitrag von Rechtsanwalt Niko Härting vom 25. Januar 2012
• EU data protection reform: the industry responds; Beitrag auf Info4Security vom 27. Januar 2012

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Download der Präsentationsfolien als PDF-Dokument.

Zu den Folien auf slideshare.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Selbstverpflichtung: IITR-Datenschutz-Codex für Webseitenbetreiber

Facebook-Fans bieten wir einen kostenfreien Datenschutz-Codex für Webseitenbetreiber (inkl. Muster für Datenschutzerklärung und Verfahrensverzeichnis). Zum Datenschutz-Codex…

Was ist der Düsseldorfer Kreis?

Der Düsseldorfer Kreis ist der inoffizielle Zusammenschluss der Datenschutz-Aufsichtsbehörden im Unternehmens-Bereich (so genannte „nicht-öffentliche Stellen“). Der Düsseldorfer Kreis veröffentlicht regelmäßig Stellungnahmen zur Vereinheitlichung der aufsichtsrechtlichen Praxis.

Inhalt des Beschlusses (Volltext)

“(…) Betreiber von sozialen Netzwerken müssen insbesondere folgende Rechtmäßigkeitsanforderungen beachten, wenn sie in Deutschland aktiv sind (Hervorhebung durch den Autor):

• Es muss eine leicht zugängliche und verständliche Information darüber gegeben werden, welche Daten erhoben und für welche Zwecke verarbeitet werden. Denn nur eine größtmögliche Transparenz bei Abschluss des Vertrags über eine Mitgliedschaft bzw. informierte Einwilligungen gewährleisten die Wahrung des Rechts auf informationelle Selbstbestimmung. Die Voreinstellungen des Netzwerkes müssen auf dem Einwilligungsprinzip beruhen, jedenfalls soweit nicht der Zweck der Mitgliedschaft eine Angabe von Daten zwingend voraussetzt. Eine Datenverarbeitung zunächst zu beginnen und nur eine Widerspruchsmöglichkeit in den Voreinstellungen zu ermöglichen, ist nicht gesetzmäßig.
• Es muss eine einfache Möglichkeit für Betroffene geben, ihre Ansprüche auf Auskunft, Berichtigung und Löschung von Daten geltend zu machen. Grundvoraussetzung hierfür ist die Angabe von entsprechenden Kontaktdaten an leicht auffindbarer Stelle, damit die Betroffenen wissen, wohin sie sich wenden können.
• Die Verwertung von Fotos für Zwecke der Gesichtserkennung und das Speichern und Verwenden von biometrischen Gesichtserkennungsmerkmalen sind ohne ausdrückliche und bestätigte Einwilligung der abgebildeten Person unzulässig.
• Das Telemediengesetz erfordert jedenfalls pseudonyme Nutzungsmöglichkeiten in sozialen Netzwerken. Es enthält im Hinblick auf Nutzungsdaten - soweit keine Einwilligung vorliegt – ein Verbot der personenbeziehbaren Profilbildung und die Verpflichtung, nach Beendigung der Mitgliedschaft sämtliche Daten zu löschen.
• Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.
• Die großen Mengen an teils auch sehr sensiblen Daten, die in sozialen Netzwerken anfallen, sind durch geeignete technisch-organisatorische Maßnahmen zu schützen. Anbieter müssen nachweisen können, dass sie solche Maßnahmen getroffen haben.
• Daten von Minderjährigen sind besonders zu schützen. Datenschutzfreundliche Standardeinstellungen kommt im Zusammenhang mit dem Minderjährigenschutz besondere Bedeutung zu. Informationen über die Verarbeitung von Daten müssen auf den Empfängerhorizont von Minderjährigen Rücksicht nehmen und also auch für diese leicht verständlich sein.
• Betreiber, die außerhalb des Europäischen Wirtschaftsraumes ansässig sind, müssen gemäß § 1 Abs. 5 Satz 3 BDSG einen Inlandsvertreter bestellen, der Ansprechperson für die Datenschutzaufsicht ist.”

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtsquellen

Als für eine Körperschaft des öffentlichen Rechts relevante Datenschutzvorschriften kommen zunächst die Datenschutzgesetze der Länder und das Bundesdatenschutzgesetz (BDSG) in Betracht. Die für das Verhältnis beider Rechtsquellen maßgebliche Norm ist § 1 Abs. 2 BDSG. Grob vereinfacht ist das BDSG hiernach stets anwendbar für nicht-öffentliche Stellen (sprich: Unternehmen). Öffentliche Stellen unterliegen dem BDSG nur soweit sie dem Bund unterstehen. In den übrigen Fällen sind im Grundsatz die Landesdatenschutzgesetze anwendbar.

Öffentliche vs. nicht-öffentliche Stelle

Maßgeblich ist damit zunächst, ob die jeweilige Körperschaft des öffentlichen Rechts als öffentliche oder nicht-öffentliche Stelle anzusehen ist. Diese Frage ist in vielen Fällen nicht unumstritten. Hintergrund ist, dass unter die Kategorie der Körperschaften des öffentlichen Rechts nicht nur Gebietskörperschaften oder Behörden fallen, die offenkundig als öffentliche Stelle agieren. Einordnungsschwierigkeiten bestehen insbesondere bei Stiftungen, Handwerksinnungen oder Unternehmen, an denen der Staat beteiligt ist. Soweit eine herrschende Meinung überhaupt auszumachen ist, muss in diesen Grenzfällen allein die Struktur der Mitgliedschaft maßgeblich sein (so Gola/Schomerus, Bundesdatenschutzgesetz, 10. Auflage, 2010, § 2 Rn. 14). Mithin ist diese Frage häufig nur im Einzelfall zu klären.

Rechtsquellen für die Körperschaften des öffentlichen Rechts

Damit steht als Zwischenergebnis fest: Körperschaften des öffentlichen Rechts, deren Mitgliedschaftsstruktur privatrechtlich ist oder die dem Bund unterstehen müssen das BDSG beachten. Körperschaften des öffentlichen Rechts, die einem Bundesland unterstehen (z.B. Kreis- und Stadtverwaltungen) müssen das jeweilige Landesdatenschutzgesetz befolgen. Nach ganz herrschender Auffassung ist auf die Industrie- und Handelskammern das Landesdatenschutzrecht anwendbar, da sie zumindest der Landesaufsicht unterstehen (Gola/Schomerus, Bundesdatenschutzgesetz, 10. Auflage 2010, § 2 Rn. 18).

„Verbot mit Erlaubnisvorbehalt“ und „Abschottungsgebot“

Grundsätzlich gilt für alle Körperschaften des öffentlichen Rechts das so genannte „Verbot mit Erlaubnisvorbehalt“, wonach jede Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten grundsätzlich verboten ist (Regel), es sei denn der Betroffene hat eingewilligt oder ein Gesetz erlaubt die Datenverarbeitung oder ordnet diese an (Ausnahme). Für die Körperschaften des öffentlichen Rechts des Bundes folgt dies aus § 4 Abs. 1 BDSG, für diejenigen der Länder aus den entsprechenden Landesdatenschutzgesetzen (z.B. § 6 BlnDSG, Art. 15 BayDSG).

Für die Körperschaften des öffentlichen Rechts wird das Verbot mit Erlaubnisvorbehalt zudem durch das sog. „Abschottungsgebot“, das auch als „informationelle Gewaltenteilung“ bezeichnet wird, ergänzt. Hierzu hat das Bundesverfassungsgericht (BVerfG NJW 1988, 959-961) entschieden, dass die öffentliche Hand keine einheitliche verantwortliche Stelle ist, sondern aus vielen einzelnen verantwortlichen Stellen besteht. Das heißt, dass der datenschutzrechtlich relevante Kontakt zwischen einer Körperschaft des öffentlichen Rechts und einer anderen Körperschaft oder Behörde ebenfalls grundsätzlich verboten ist, soweit kein Erlaubnistatbestand eingreift.

Einwilligung als Rechtsgrundlage

Mithin ist ein wesentlicher Erlaubnistatbestand zur Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen. Sie muss freiwillig, widerruflich und informiert erfolgen. Im BDSG folgt dies aus etwa aus § 4a, in den Landesgesetzen gibt es vergleichbare Normen (z.B. § 6 Abs. 3 – 6 BlnDSG, Art. 15 Abs. 2 – 4 BayDSG).

Einwilligungsunabhängige Erlaubnistatbestände

Daneben stellt für die Datenverarbeitung durch Körperschaften des öffentlichen Rechts der häufigste Erlaubnisgrund die Annahme einer Pflichtaufgabe dar, soweit die Interessen des Betroffenen nicht entgegenstehen (z.B. für den Bund: § 13 Abs. 1 BDSG; für die Länder z.B. § 10 Abs. 1 BlnDSG, Art. 16 BayDSG).

Im Beispiel der Industrie- und Handelskammern (mit einer gesetzlich normierten Zwangsmitgliedschaft; vgl. § 2 Abs. 1 IHKG) folgt hieraus, dass eine Erhebung, Verarbeitung und/oder Nutzungen personenbezogener Daten regelmäßig nur dann zulässig ist, wenn dies der Aufgabenerfüllung des IHKG entspricht. Ansonsten muss eine Datenverarbeitung im Grundsatz auf eine Einwilligung der Betroffenen gestützt werden.

Fazit

Es zeigt sich, dass auch Körperschaften des öffentlichen Rechts wie bspw. die Industrie- und Handelskammern den Datenschutzbestimmungen unterliegen. Hervorzuheben ist hierbei der Grundsatz der so genannten „informationellen Gewaltenteilung“, der auch kleinste öffentliche Einheiten zur Abschottung gegenüber anderen öffentlichen Stellen zwingt.

Autor:
Rechtsanwalt Dr. Stephan Gärtner, Berlin

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Es bleibt abzuwarten, was von dem durch Heise.de ausführlich besprochenen Entwurf am Ende bleiben wird. Ziel des Entwurfs scheint in jedem Fall zu sein, die europäischen Datenschutz-Vorstellungen global durchzusetzen. Üblicherweise benötigt die Finalisierung einer solchen EU-Regelung mindestens zwei Jahre und sollen die Regelungen nach Verabschiedung erst nach zwei Jahren in Kraft treten, so dass mit Änderungen in Deutschland nicht vor 2016 zu rechnen ist.

• EU-Datenschutzverordnung im Volltext (PDF)

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Datum:

15. Dezember 2011 (Donnerstag)

Ort:

Siemens-Forum am Altstadtring

(4. Flur – Raum 22.426)

Oskar-von-Miller-Ring 20

80333 München

Uhrzeit:

19.00 Uhr (Teilnahme auch für Nicht-Mitglieder möglich; um entsprechende Anmeldung wird gebeten).

Details zu den Fachvorträgen:

• Rechtsanwalt Florian Thoma (Datenschutzbeauftragter der Siemens AG und 1. Vorsitzender der Bayerischen Datenschutzgesellschaft): „Bericht aus Brüssel: EU konkretisiert ihre Vorstellungen zum neuen Rechtsrahmen – Ablösung der Richtlinie 95/46/EG“

• Rechtsanwalt Dr. Sebastian Kraska (Externer Datenschutzbeauftragter und Schriftführer der Bayerischen Datenschutzgesellschaft): „Facebook-Like-Button und Webanalyse im Focus der Datenschutz-Aufsichtsbehörden“

Anmeldung:

Bei Interesse an einer Teilnahme schreiben Sie einfach eine E-Mail an email@iitr.de.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Das Urteil des EuGH hatte an sich einen anderen Gegenstand zur Hauptsache. In Randziffer 51 wurde eher nebenbei festgestellt:

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

Eine Differenzierung in dynamische oder statische IP-Adressen wurde dabei im Urteil offensichtlich nicht vorgenommen. Auch werden andere in der Diskussion häufig vorgebrachte Gegenargumente nicht im Detail behandelt. Dennoch dürfte das Urteil eine gewisse Richtung weisen, wie diese Frage künftig gerichtlich zu entscheiden ist.

Vielen Dank an den Kollegen Rechtsanwalt Michael Seidlitz für den Hinweis auf das Urteil.

Update am 25. November 2011:

Auf die teilweise geäußerte Rückmeldung, dass der Personenbezug von IP-Adressen bei Zugangsprovidern unumstritten sei und die Meldung den Sachverhalt daher verkürze, möchte ich vertiefend auf die Argumente des Kollegen Jens Ferner für die Abkehr vom “relativen Personenbezug” verweisen, die nach meiner Lesart durch das Urteil gestärkt werden.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Einleitung

Die Bundesländer haben im Dezember 2010 den Fünfzehnten Rundfunkänderungsstaatsvertrag unterzeichnet, welcher in Art. 1 den Rundfunkbeitragsstaatsvertrag (RBStV) enthält. Nach Ratifizierung des Staatsvertrags in Landesrecht durch die einzelnen Landesgesetzgeber wird er am 1.Januar 2013 in Kraft treten und der Rundfunkfinanzierung eine neue Grundlage geben. Statt wie bisher Gebühren für das Bereithalten von Hörfunk- und Fernsehgeräten (Empfangsgeräte) zu erheben, wird zukünftig ein Beitrag auf das Innehaben einer Wohnung oder einer Betriebsstätte erhoben.

Die geräteunabhängige Finanzierungsgrundlage wird zum Wegfall der Hausbesuche der „Gebührenbeauftragten“ der Gebühreneinzugszentrale (GEZ) führen und zu einer Reduzierung des Umfangs der zu Einzugszwecken erforderlichen Daten.

Die Rundfunklandschaft in Deutschland

Hörfunk und Fernsehen (Rundfunk) erfüllen wesentliche Aufgaben in einer Demokratie. Die in Art. 5 Abs. 1 S. 2 Grundgesetz (GG) gewährleistete Rundfunkfreiheit dient der freien individuellen und öffentlichen Meinungsbildung (BVerfGE 57, 297 [319]). Die freie Meinungsbildung ist Voraussetzung sowohl der Persönlichkeitsentfaltung als auch der demokratischen Ordnung (BVerfGE 90, 60 [87]).

Die Rundfunkfinanzierung in Deutschland – Von der Gebühr…

Dem Rundfunkgebührenstaatsvertrag (RGebStV) nach sind Rundfunkgebühren die vorrangige Finanzierungsquelle des öffentlich-rechtlichen Rundfunks. Es besteht hierbei derzeit ein geräteabhängiges Finanzierungsmodel. Rundfunkteilnehmer und somit Gebührenschuldner ist nach § 2 RGebStV grundsätzlich jene Person, die ein Empfangsgerät zum Empfang bereithält. Der konkrete Betrieb eines Empfangsgeräts ist nicht erforderlich. Gebührengläubiger sind die zuständigen Rundfunkanstalten. Bereits seit 1976 übernimmt die Aufgabe des Gebühreneinzugs die durch Verwaltungsvereinbarung der Rundfunkanstalten gegründete GEZ mit Sitz in Köln.

Die Rundfunkgebühren stießen vermehrt auf Kritik. Insbesondere die „Schnüffelei an der Wohnungstür“ (Kurt Beck) durch die Gebührenbeauftragten der GEZ wurde als störend wahrgenommen, was dem Ansehen der GEZ und mitunter des öffentlichen-rechtlichen Rundfunks generell schadete.

Das geräteabhängige Finanzierungsmodel muss in Zeiten der Medienkonvergenz mittlerweile zudem auch als veraltet gelten. Netze, Endgeräte und Dienste konvergierten zu einem Grad, dass jeder Computer und jedes Smartphone ein zum Empfang von Rundfunk geeignetes Endgerät wurde. Die Einteilung in Hörfunk- und Fernsehgeräte wurde immer schwieriger.

…zum Beitrag

Mit Beginn des Jahres 2013 wird die Rundfunkgebühr durch den Rundfunkbeitrag ersetzt. Statt der Gebühr für ein bestimmtes Empfangsgerät wird zukünftig ein pauschaler Beitrag erhoben. Wesentliches Ziel der Reform war es, den Weg der Datenerhebung über die „Haustür“ so weit wie möglich zu reduzieren und durch den Wechsel von einem geräteabhängigen hin zu einem pauschalen geräteunabhängigen Finanzierungsmodel der Medienkonvergenz Rechnung zu tragen. Zudem soll der pauschale Beitrag gerechter sein.

Beitragsschuldner im privaten Bereich ist der Inhaber einer Wohnung und im nichtprivaten Bereich der Inhaber einer Betriebsstätte. § 2 Abs. 2 RBStV bestimmt, dass Inhaber einer Wohnung jede volljährige Person ist, die die Wohnung selbst bewohnt. Als Inhaber wird vermutet, wer dort nach dem Melderecht gemeldet oder im Mietvertrag als Mieter genannt ist. Im nichtprivaten Bereich gilt gemäß § 5 RBStV eine Staffelung bei den Beitragssätzen je nach Anzahl der Mitarbeiter. Die Staffelung beginnt bei einem Drittel Rundfunkbeitrag für Betriebsstätten mit bis zu acht Beschäftigten und endet mit 180 Beiträgen für 20.000 und mehr Beschäftigte.

Mitwirkungspflichten und Auskunftsansprüche

Das Rückgrat des Gebühren- bzw. Beitragseinzugs ist die bei der GEZ angelegte Datenbank der gemeldeten Rundfunkteilnehmer. Zum Zwecke der Datenerhebung und -aktualität sehen der RGebStV und der RBStV Mitwirkungspflichten der Rundfunkteilnehmer und Auskunftsansprüche der Rundfunkanstalten vor. Letztere wirken flankierend, wenn die Rundfunkteilnehmer ihren Verpflichtungen nicht nachkommen.

Der RGebStV verpflichtet in § 3 Abs. 1 und Abs. 2 die Rundfunkteilnehmer der zuständigen Rundfunkanstalt eine Fülle von Daten unverzüglich mitzuteilen und auf Verlangen nachzuweisen: Vor- und Familienname sowie der früherer Name, unter dem ein Rundfunkempfangsgerät angemeldet wurde, Geburtsdatum, Name und Anschrift des gesetzlichen Vertreters, gegenwärtige Anschrift sowie letzte Anschrift, Beginn und Ende des Bereithaltens von Rundfunkempfangsgeräten, Art, Zahl, Nutzungsart und Standort der Rundfunkempfangsgeräte, und Grund der Abmeldung.

Liegen tatsächliche Anhaltspunkte dafür vor, dass der Rundfunkteilenehmer seiner Auskunftspflicht nicht oder nur teilweise nachgekommen ist, kann gemäß § 4 Abs. 5 RGebStV die zuständige Rundfunkanstalt von Rundfunkteilenehmern direkt oder von anderen, die mit den Rundfunkteilenehmern in häuslicher Gemeinschaft leben, Auskunft über die von der Anzeigepflicht umfassten Angaben verlangen. Die Rundfunkanstalten können dann auch weitere Daten erheben, die nicht von der Auskunftspflicht umfasst sind, wenn dies erforderlich ist. Der Auskunftsanspruch ist im Verwaltungsverfahren durchsetzbar. Unter der zusätzlichen Voraussetzung, dass dies zur Überwachung der Rundfunkgebührenpflicht erforderlich und die Direkterhebung beim Betroffenen nicht möglich ist oder einen unverhältnismäßigen Aufwand erfordern würde, ermächtigt § 4 Abs. 6 RGebStV die Rundfunkanstalten sogar zur Einholung von Auskünften bei den Meldebehörden.

Die Rundfunkanstalten können auch Dritte, z.B. Adresshändler oder Detekteien, mit der Ermittlung von Rundfunkteilnehmern, die ihrer Anzeigepflicht nicht nachgekommen sind, beauftragen. § 8 RGebStV verweist hier auf die für die Datenverarbeitung im Auftrage anwendbaren Bestimmungen (z.B. § 11 Bundesdatenschutzgesetz (BDSG)).

Zukünftig wird sich insoweit nicht viel ändern. § 8 RBStV normiert eine zum Gebührenmodel vergleichbare Anzeigepflicht der Rundfunkteilnehmer und ein vergleichbares Auskunftsrecht der Rundfunkanstalten. Kleinere Unterschiede resultieren aus der Natur der Sache. Da das Empfangsgerät zukünftig nicht mehr der Anknüpfungspunkt des Beitrags ist, werden Angaben darüber, welche Personen welche Geräte wo in einer Wohnung zum Empfang bereithalten, nicht mehr benötigt. Dafür werden umgekehrt mehr Daten zur Feststellung des Inhabers einer Wohnung erforderlich. Z.B. müssen zukünftig nicht nur Eigentümer, sondern auch Erbbau- und Pfandberechtigte mitgeteilt werden. Die Erweiterung der Daten an dieser Stelle soll der Vielschichtigkeit der Lebensweisen der Menschen gerecht werden.

Zwei Punkte in § 8 Abs. 4 RBStV müssen einschränkend gelesen, bzw. durch Satzung (Satzungsermächtigung in § 9 Abs. 2 RBStV) einschränkend konkretisiert werden. § 8 Abs. 4 Nr. 4 RBStV sieht vor, dass neben der gegenwärtigen Anschrift jeder Betriebsstätte und jeder Wohnung auch alle vorhandenen Informationen zur Lage gemeldet werden müssen. Gemeint sind aber nicht wirklich alle verfügbaren Information, sondern solche, die zur Unterscheidung z.B. einer Wohnung von anderen innerhalb eines Gebäudes erforderlich sind.

Weiterhin sieht bei der Abmeldung einer Wohnung oder Betriebsstätte § 8 Abs. 5 Nr. 2 RBStV vor, dass der die Abmeldung begründende Lebenssachverhalt mitgeteilt werden muss. Die Regelung soll nicht über die bisherige hinausgehen, so dass schlichtweg der Grund der Abmeldung mitgeteilt werden muss.

Zweckbindung

§ 3 Abs. 3 RGebStV normiert das Zweckbindungsgebot. Hiernach darf die Landesrundfunkanstalt die ihr mitgeteilten Daten nur für die ihr im Rahmen des Rundfunkgebühreneinzugs obliegenden Aufgaben verarbeiten.

Die Zweckbindung gemäß § 11 Abs. 5 Satz 1 RBStV wird zukünftig noch strikter, da sie sämtliche Daten, unabhängig von ihrer Herkunft und ob sie von der Anzeigepflicht erfasst sind, betrifft. Die erhobenen Daten sind unverzüglich zu löschen wenn feststeht, dass sie nicht mehr benötigt werden.

Es darf daher keine Mitteilung an andere Stellen erfolgen. Anders als bei Einwohnermeldeämtern dürfen die Daten auch zu Strafverfolgungszwecken nicht weitergegeben werden.

Datenkontrolle

§ 8 Abs. 2 Satz. 2 RGebStV und § 11 Abs. 2 RBStV sehen eine zweistufige Datenkontrolle vor. Neben den nach Landesrecht für die Landesrundfunkanstalt zuständigen sog. Rundfunkbeauftragten für den Datenschutz ist ein betrieblicher Datenschutzbeauftragter bei der Rundfunkanstalten bzw. der GEZ zu bestellen. Beide arbeiten zur Gewährleistung des Datenschutzes zusammen.

Dynamische Verweisungen auf die entsprechenden Regelungen im BDSG sollen dafür sorgen, dass das Datenschutzniveau aktuell und in einem sich schnell wandelnden Umfeld anpassungsfähig bleibt.

Da es nach Landesrecht nicht in allen Ländern, z.B. in Hessen und Bremen, eigene Rundfunkbeauftragte für den Datenschutz gibt und diese Aufgaben den Landesbeauftragten für den Datenschutz zugewiesen sind, stehen insoweit die Rundfunkanstalten unter staatlicher Kontrolle, was unter dem Gesichtspunkt des staatsfernen Rundfunks verfassungsrechtlich bedenklich erscheinen mag. Nach der Rechtsprechung des Bundesverfassungsgerichts erschöpft sich die Garantie der Rundfunkfreiheit nicht in dem Beherrschungsverbot gegenüber dem Staat, sondern soll vielmehr jede politische Instrumentalisierung ausschließen (BVerfGE 90, 60, [88]). Unter anderem diese Bedenken wurden vom Gesetzgeber nicht aufgegriffen und dürften auch eher ein akademisches Problem sein, da die Landesbeauftragten für den Datenschutz ja selbst unabhängig sind. Die Forderung nach einem staatsfernen Rundfunk wird hierdurch nicht unterlaufen.

Der Antrag auf Befreiung

§ 6 RGebStV und § 4 RBStV ermöglichen gewissen Bevölkerungsgruppen die Befreiung von der Zahlungspflicht. Dies betrifft z.B. Auszubildende, Bafög- und Sozialhilfeempfänger, Rentner sowie körperlich eingeschränkte Menschen. Der Antragssteller muss das Vorliegen eines Befreiungsgrundes durch Vorlage einer entsprechenden Bestätigung durch den Leistungsträger oder durch einen entsprechenden Bescheid nachweisen. Insbesondere gesundheitliche Befreiungsgründe betreffen den besonderen Bereich sensibler Daten (§ 3 Abs. 9 BDSG). Nicht nur unter dem Gesichtspunkt des Grundsatzes der Datensparsamkeit wäre sicherlich ein neutrales Formblatt der Leistungsträger oder Ärzte vorzuziehen, aus dem schlichtweg die Feststellung des Befreiungstatbestandes ohne nähere Angaben hervorgeht.

Das Verfahren im Übergang ab 2012

Ab dem 1. Januar 2012 besteht nach § 14 RBStV eine Anzeigeobliegenheit bzw. -pflicht der Rundfunkgebührenschuldner, der zuständigen Rundfunkanstalt alle Tatsachen anzuzeigen, welche Grund und Höhe des zukünftigen Beitrags betreffen.

Kommen Rundfunkteilnehmer ihren Verpflichtungen nicht nach, kann die Rundfunkanstalt ihren Anspruch im Verwaltungsverfahren durchsetzen oder es bei der gesetzlichen Vermutung aus § 14 RBStV belassen, wonach bis zum 31. Dezember 2012 gemeldete Gebührenschuldner Beitragsschuldner nach dem neuen Staatsvertrag werden. Deshalb ermächtigt § 14 Abs. 6 RBStV die Nutzung bislang gespeicherter Daten im notwendigen Umfang. Die Daten betreffend Art und Anzahl der Empfangsgeräte, die fortan nicht mehr benötigt werden, müssen daher gelöscht werden.

Der einmalige Meldeabgleich

Größere Aufmerksamkeit erregte § 14 Abs. 9 RBStV. Hiernach werden die Rundfunkanstalten ermächtigt, einmalig ihre Daten mit den Daten der Einwohnermeldeämter abzugleichen. Zulässig ist dies nur zum Zwecke der Bestands- und Ersterfassung. Dies muss innerhalb von zwei Jahren erfolgen. Hat die zuständige Rundfunkanstalt nach dem Abgleich für eine Wohnung einen Beitragsschuldner identifiziert, hat sie die Daten der übrigen Mitbewohner, die ja grundsätzlich gesamtschuldnerisch neben dem angemeldeten „Inhaber“ der Wohnung zur Beitragszahlung mit verpflichtet sind, unverzüglich zu löschen.

Die gesetzliche Rechtfertigung für diese Datenverarbeitung kommt aus dem Melderecht. Dieses sieht in einigen Ländern Regelungen über die Datenübermittlung an andere Behörden und öffentliche Stellen vor, sofern der Anlass und der Zweck der Übermittlung, der Datenempfänger und die zu übermittelnden Daten konkretisiert sind. Andere Bundesländer haben spezielle Ermächtigungen zur Datenübermittlungen an die jeweils zuständige Rundfunkanstalt erlassen (z.B. § 34a Niedersächsisches Meldegesetz an den NDR) [Passage angepasst auf Hinweis von Herrn Dr. Belz].

Dem Volkszählungsurteil nach können Eingriffe in das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gerechtfertigt sein, sofern die „gesetzliche (…) Grundlage (…) dem rechtsstaatlichen Gebot der Normenklarheit entspricht (…).“ Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten (BVerfGE 65, 1 [44.]).

Fazit

Das zukünftige Beitragsmodel schafft die Hausbesuche der GEZ ab und löst sich von der Gerätebindung. Die Rundfunkfinanzierung wird dadurch in gewisser Weise „unsichtbar“: wenn Daten nicht freiwillig und ohne Hausbesuche erhoben und aktualisiert werden können, greifen pauschale Befugnisse der Anstalten, sich die Daten indirekt (z.B. durch Adresskauf) zu beschaffen. Mit einer äußert stringenten Zweckbindung wird versucht dafür Sorge zu tragen, dass die Fülle und die Vielfalt der Daten nur für den Zweck der Beitragseinziehung bzw. -freistellung verwendet werden.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Diplom-Jurist Michael Stolze, LL.M. LL.M.

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

1. Seien Sie sich bewusst, dass bei der Rückgabe von Leasing-Kopier-Geräten (aber auch bei der Entsorgung von Eigen-Kopier-Geräten) derzeit sensible Unterlagen das Unternehmen verlassen.
2. Die meisten Kopier-Geräte-Hersteller bieten inzwischen (gegen Aufpreis) unter dem Stichwort “Data-Security-Kit” einen Datenverschlüsselungsalgorithmus, der die auf der Festplatte verbliebenen Dateien sicher überschreibt.
3. Kopier-Geräte von Herstellern, die Festplatten zur Zwischenspeicherung der eingescannten Dateien verwenden und keine sichere Datenlöschung sicherstellen können, sollten von ihrer Verwendung ausgeschlossen werden.

Fazit

Meine Empfehlung lautet, gerade bei Leasing-Kopier-Geräten entsprechende “Data-Security-Kits” nachzurüsten. Ebenfalls erforderlich ist eine datenschutzgerechte Entsorgung von Eigen-Kopier-Geräten, um einen Fremdzugriff auf Unternehmensunterlagen zu verhindern.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

• Der Beitrag ist eine Übersetzung unseres Artikels “Hamburger Datenschutz-Aufsichtsbehörde: Google Analytics datenschutzkonform einsetzen“.
• Die vollständige englischsprachige Übersetzung finden Sie hier auf unserer englischsprachigen Webseite unter www.iitr.us.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Im Fazit des Gutachtens heißt es hierbei:

“Das ULD zieht auf Grundlage seiner technischen und rechtlichen Analyse die Schlussfolgerung, dass das Betreiben von Facebook Fanpages sowie die Einbindung von Social-Plugins zwangsläufig zu Datenschutzverstößen führt und fordert die Webseitenbetreiber daher dazu auf, entsprechende Angebote zu entfernen. Tatsächlich bestehen an der datenschutzrechtlichen Zulässigkeit dieser Anwendungen erhebliche rechtliche Zweifel. Aufgrund der komplexen und unübersichtlichen Rechtslage sowie der Schwierigkeit einer zutreffenden Einordnung der technischen Abläufe ist eine abschließende datenschutzrechtliche Bewertung aus hiesiger Sicht jedoch nicht möglich.

Festzuhalten ist Folgendes: Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Im Hinblick auf die zur Verantwortlichkeit von Webseitenbetreibern gemachten Feststellungen erscheint jedenfalls die Begründung einer Auftragsdatenverarbeitung nach § 11 BDSG und einer daraus resultierenden Verantwortlichkeit der Webseitenbetreiber für die durch Facebook erstellten Statistiken nicht nachvollziehbar. Eine Verantwortlichkeit von Facebook Nutzern ist zudem entgegen der Bewertung des ULD wohl jedenfalls dann abzulehnen, wenn diese gleichzeitig Betroffene i. S. d. Datenschutzrechts sind und lediglich Daten zu ihrer eigenen Person verarbeiten.

Im Rahmen der Darstellungen zum anwendbaren Recht geht das ULD ohne Weiteres davon aus, dass all solche Daten, die nicht als Bestands- oder Nutzungsdaten i. S. d. TMG zu qualifizieren sind, als Inhaltsdaten dem Anwendungsbereich des BDSG unterliegen. Wie dargestellt, sind nach einer anderen Ansicht solche Daten jedoch zur Wahrung der Einheitlichkeit des Telemedienschutzes ebenfalls nach § 15 TMG zu behandeln. Den Ausführungen zur Zulässigkeit der Datenverarbeitung ist im Ergebnis wohl zuzustimmen. Im Hinblick auf die Informationspflichten von Webseitenbetreibern geht das ULD davon aus, dass insoweit der Anwendungsbereich des § 5 TMG eröffnet ist. Wie dargestellt, lässt sich im Einzelfall bei entsprechender Begründung jedoch auch eine abgeschwächte Impressumspflicht nach § 55 RStV begründen. Insgesamt hängt die Bewertung der durch das ULD gemachten Ausführungen zu Informationspflichten und Datensicherheit davon ab, inwieweit man die Verwender von SocialPlugins als verantwortliche Stellen betrachtet.

Die Frage möglicher Konsequenzen für Webseitenbetreiber lässt sich im Ergebnis nicht eindeutig beantworten. Nach hiesiger Auffassung dürfte das Landesinnenministerium für die Verhängung von Bußgeldern nach § 16 Abs. 2 Nr. 2 bis 5 TMG zuständig sein.

Im Übrigen geht das ULD in seiner Beurteilung überwiegend von vertretbaren Rechtsauffassungen aus, jedoch ist der durch das ULD erweckte Eindruck, die untersuchten Sachverhalte würden eindeutig gegen geltendes Datenschutzrecht verstoßen, unzutreffend. Vielmehr ist das geltende Datenschutzrecht von Unsicherheiten geprägt und macht die eindeutige Beantwortung rechtlicher Fragen in diesem Bereich schwer. Eine gerichtliche Beurteilung der untersuchten Sachverhalte steht bislang aus.

Die zur Frage der Personenbezogenheit einer IP-Adresse auch in der Rechtsprechung vertretenen verschiedenen Auffassungen machen zudem deutlich, dass selbst im Falle einer richterlichen Entscheidung nicht von einer endgültigen Klärung datenschutzrechtlichen Kontroversen ausgegangen werden kann. Es kann daher keine abschließende Empfehlung hinsichtlich einer Entfernung der durch das ULD als datenschutzrechtlich unzulässig bewerteten Angebote gegeben werden.”

• Vgl. vertiefend auch die Diskussion um eine (dementierte) Sonderlösung von Facebook für Schleswig-Holstein
• Webseitenbetreiber: lesen Sie auch unseren Beitrag “Facebook Like Button datenschutzkonform einsetzen“.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtstatsachen

Datenschutzrechtlich verantwortliche Stellen, sowohl in öffentlich als auch in privater Hand, leiden gleichsam an einem starken Kosten- und Effizienzdruck. Daher greifen sie, gerade wenn es um die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten geht, zu dem Mittel der Automatisierung. Sie legen fest, dass wenn die Voraussetzung A erfüllt ist, die Daten B übermittelt werden. Ein Beispiel: Das Mobilfunkunternehmen M sieht vor, dass alle Verträge, die wegen fehlender Zahlungseingänge gekündigt werden, automatisch als offene Forderung an eine Auskunftei gemeldet werden (vgl. AG Potsdam, Urt. v. 03.06.2005, Az. 22 C 30/05, zu finden bei S. Gärtner, Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts, Verlag Dr. Kovac, 2011, S. 161). Es darf daher von einer Blindmeldung gesprochen werden, denn die Daten werden „blind“ und somit ohne Ansehung des Einzelfalls übermittelt.

Rechtsprechung zu den Blindmeldungen

Nach BDSG sind Blindmeldungen jedenfalls dann rechtswidrig, wenn hierbei Daten automatisch übermittelt werden, ohne dass dies zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich wäre; mithin wenn die Übermittlung keinen Abwicklungszwecken dient. Dies hat dann zur Folge, dass die hierdurch ausgelöste Datenübermittlung insgesamt rechtswidrig ist. Etwa hat sich das OLG Düsseldorf (vgl. MDR 2007, 836-837) einer Entscheidung des Amtsgerichts Potsdam (AG Potsdam, Urt. v. 3.6.2005, Az. 22 C 30/05) angeschlossen, in der es heißt: „Nach Auffassung des Gerichts führt bereits allein die fehlende Abwägung dazu, dass der Anspruch der Klägerin [Anm.: auf Widerruf der übermittelten Daten] begründet ist.“

Dogmatischer Hintergrund („Ermessensausfall“)

Hintergrund ist, dass eine Datenübermittlung, die nicht Abwicklungszwecken dient, in der Regel nur unter den Voraussetzungen des § 28 Abs. 1 S. 1 Nr. 2 BDSG gerechtfertigt ist, was erfordert, dass eine am Verhältnismäßigkeitsgrundsatz orientierte Abwägung ergibt, dass die Offenbarungsinteressen der verantwortlichen Stelle oder Dritter die Geheimhaltungsinteressen des Betroffenen überwiegen. Unterlässt die verantwortliche Stelle diese Abwägung und will sich dann auf § 28 Abs. 1 S. 1 Nr. 2 BDSG berufen, ist dies nicht möglich, mit der Folge der Rechtswidrigkeit nach § 4 Abs. 1 BDSG. Treffenderweise spricht das AG Potsdam in seiner Entscheidung von einem „Ermessensausfall“.

Dolo agit – Einrede (vgl. hier zum Begriff)?

Gelegentlich wird vorgebtracht, dass Blindmeldungen zwar zur Rechtswidrigkeit der hierauf fußenden Datenübermittlung führten. Ergäbe aber eine nachträgliche Abwägung die Verhältnismäßigkeit der Übermittlung (i.S.v. § 28 Abs. 1 S. 1 Nr. 2 BDSG), so dürfe nicht deren Rückgängigmachung verlangt werden, da sie ohnehin gleich danach wieder erfolgen dürfe. Diesem Ansatz sind das AG Potsdam und auch das OLG Düsseldorf entgegengetreten, indem sie ausführten, dass „allein“ das Unterlassen der Abwägung (Blindmeldung) zur Rechtswidrigkeit führe und somit eine ex post – Abwägung ausscheide.

Überdies führte ein solcher Rechtssatz zur Bedeutungslosigkeit der Blindmeldungs-Rechtsprechung. Denn ergäbe die nachträgliche Abwägung die Unverhältnismäßigkeit der Übermittlung, brauchte es den Blindmeldungseinwand auch nicht mehr. Führte die Abwägung zur Verhältnismäßigkeit, wäre der Blindmeldungseinwand stets unbeachtlich. Letztlich verkennt dieser Ansatz zudem, dass die dolo-agit-Einrede aus den Grundsätzen von Treu und Glauben gewonnen wird. Eine verantwortliche Stelle, die allein aus Gründen des Kostendrucks eine zwingende Abwägung unterlässt, darf sich selbst nicht auf § 242 BGB berufen.

Beweisbarkeit

Ein weiteres Problem der Praxis lautet: Selbst wenn eine Übermittlung blind erfolgt ist, kann der Betroffene dies in der Auseinandersetzung mit der verantwortlichen Stelle selten darlegen und beweisen. Denn die Abwägungsvorgänge sind für ihn völlig intransparent. Basierend auf der BGH-Rechtsprechung zu unüberwindbaren Beweisschwierigkeiten (BGH NJW 1969, 269) plädiert das Schrifttum für eine Beweislastumkehr.

Fazit

Blindmeldungen stellen sich als wirtschaftlich relevantes Problem dar. Unternehmen fühlen sich häufig aus Kosten- und Effizienzdruck zur Automatisierung von Datenübermittlungen gezwungen (z. B. Auskunfteien beim Negativeintrag). Zwar verneint die Rechtsprechung in der Regel die Vereinbarkeit derartiger Automatisierungsvorgänge mit dem Datenschutzrecht (Blindmeldungsrechtsprechung). Gleichwohl bleiben in der Praxis viele Rechtsfragen (dolo agit, Beweisbarkeit) offen, die es noch zu lösen gilt.

Autor:

Rechtsanwalt Dr. Stephan Gärtner

Kontakt:

Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920

E-Mail-Kontaktformular

E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Die Orientierungshilfe

Die Datenschutz-Aufsichtsbehörden wollen unterstützend und aktiv den datenschutzgerechten Einsatz von Cloud-Computing fördern. Zu diesem Zweck haben die Arbeitskreise Technik und Medien der Konferenz eine Orientierungshilfe erarbeitet, welche sich an „Entscheidungsträger, betriebliche und behördliche Datenschutzbeauftragte sowie an IT-Verantwortliche“ richtet.

Die Orientierungshilfe enthält einen Katalog von Definitionen rund ums Cloud-Computing, sensibilisiert für die datenschutzrechtlichen Schwerpunkte und enthält insbesondere eine Auflistung von vertraglichen und technisch-organisatorischen Mindestforderungen betreffend die Gestaltung und Anwendung dieser Technologie.

Cloud-Anwender, also die datenschutzrechtlich verantwortlichen Stellen, dürften Cloud-Services nur dann in Anspruch nehmen wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stellen in vollem Umfang wahrzunehmen und die Umsetzung der Datenschutz- und Informationssicherheitsanforderungen geprüft haben (lassen).

Der Nutzen von Cloud Computing

Cloud-Computing hat organisatorische und wirtschaftliche Vorteile. Dazu zählen insbesondere die Skalierbarkeit und die verbrauchsabhängige Bezahlung von Rechenkapazitäten je nach Bedarf. Dies bietet großes Einsparpotenzial in den Bereichen Anschaffung, Betrieb und Wartung von IT-Systemen. Nicht zuletzt ermöglicht Cloud-Computing eine optimierte Verfügbarkeit von Geschäftsanwendungen unabhängig von geographischen Standorten.

Besondere datenschutzrechtliche Risiken

In der Orientierungshilfe werden den Vorteilen von Cloud-Computing entsprechend die datenschutzrechtlichen Schwerpunkte gelegt. Diese „cloud-spezifischen“ Risiken stehen freilich neben den klassischen, wie z.B. durch Schadsoftware oder Angriffe Dritter.

Der datenschutzrechtliche Ausgangspunkt ist, dass Cloud-Anwender verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes sind und damit die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen zu gewährleisten haben.

Gemäß § 3 Abs. 7 BDSG ist eine verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nimmt ein Cloud-Anwender von einem entsprechenden Anbieter nun Cloud-Services in Anspruch, so wird Letzterer als Auftragnehmer nach § 11 Abs. 2 BDSG tätig. Die Verantwortung für die Rechtmäßigkeit bleibt gemäß § 11 Abs. 1 BDSG beim Anwender.

Die datenschutzrechtlichen Schwerpunkte knüpfen bei dem möglichen Kontrollverlust des Anwenders über die Daten an, wenn sich die Datenverarbeitung nicht mehr vor Ort sondern ausgelagert in der „Cloud“ vollzieht und der Anwender selbst keinen konkreten Zugriff mehr auf die Daten hat. Ab dann kann es nur noch schwer nachvollziehbar sein, wo und auf welchen Systemen die Speicherung, Ausführung und Verarbeitung von Daten erfolgt. Die Unsicherheiten erhöhen sich, wenn der Cloud-Anbieter seine Dienstleistungen und Services selbst bei anderen Anbietern einkauft und damit die Transparenz verloren geht.

Mit der IT wird nicht die Verantwortung ausgelagert

Die Orientierungshilfe legt besonderen Schwerpunkt auf die Gefahr der verantwortlichen Stelle, ihrer datenschutzrechtlichen Verantwortung durch die Auslagerung der IT nicht mehr gerecht werden zu können. Die Stichworte lauten hier: Transparenz, Beeinflussung und Kontrolle der Datenverarbeitung.

Die Dokumentation und Protokollierung der Datenverarbeitungsprozesse erfolgt beim Cloud-Anbieter und ist daher für den Anwender meist intransparent, so dass eine wirksame Kontrolle der Einhaltung der datenschutzrechtlichen Pflichten schwierig ist: Könnten Daten, die am Standort X auf Wunsch des Anwenders durch den Anbieter berichtigt, gelöscht oder gesperrt wurden sind (§ 35 Abs. 1-3 BDSG) unverändert am Standort Y noch weiter existieren? Auch können vermeintlich als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG) wieder re-identifizierbar werden, wenn bei der Verarbeitung in der Cloud weitere Beteiligte hinzu treten, die über Zusatzwissen verfügen und eine Re-Identifizierung möglich machen.

Die verantwortliche Stelle läuft Gefahr, die Rechtmäßigkeit der gesamten Datenverarbeitung nicht mehr gewährleisten zu können, wozu sie aber gesetzlich verpflichtet ist. Die Orientierungshilfe erinnert dabei an eventuelle haftungsrechtliche Konsequenzen durch Schadensersatzforderungen der Betroffenen und mögliche Maßnahmen der Aufsichtsbehörden, wie Bußgelder und Anordnungen (§ 38 Abs. 5 BDSG), sollten Datenschutzbestimmungen nicht eingehalten werden.

Schwerpunkt: Datentransfers ins außereuropäische Ausland, insb. USA

Finden im Rahmen der Auslagerung von IT-Lösungen Datenverarbeitungen im außereuropäischen Ausland statt, dann gelten grundsätzlich die besonderen Anforderungen der §§ 4b, 4c BDSG. Für Cloud-Computing gelten daher keine Besonderheiten: Besteht in einem solchen „Drittland“ kein von der EU-Kommission anerkannt angemessenes Datenschutzniveau, muss die verantwortliche Stelle (also der Cloud-Anwender) das ausreichende Datenschutzniveau garantieren und vorweisen. Dies kann beispielsweise durch EU-Standardvertragsklauseln oder durch Binding Corporate Rules erfolgen. Der Cloud-Anbieter hat sich dabei zur Einhaltung des EU-Datenschutzniveaus zu verpflichten.

Seit langem gilt die Besonderheit des Safe-Harbor-Agreement mit den USA. Hier hat die Konferenz der Datenschutzbeauftragten nun erstmals konkrete Anforderungen zum Umgang mit US-Cloud-Anbietern festgelegt.

Das Safe-Harbor-Agreement privilegiert datenverarbeitende Unternehmen mit Sitz in den USA, wenn diese sich auf freiwilliger Basis gegenüber dem US-Handelsministerium zur Einhaltung der Safe-Harbor-Grundsätze durch eine Beitragserklärung verpflichten (Stichwort „Selbstzertifizierung“). Abschließend muss eine Datenschutzerklärung veröffentlicht werden. Dies reicht aus, ein „angemessenes Schutzniveau“ zu erlangen. Darüber hinaus muss sich der US-Cloud-Anbieter zur Kooperation mit den europäischen Datenschutzbehörden verpflichten.

Die Orientierungshilfe der Datenschutzbeauftragten verlangt bzw. empfiehlt (je nach Auslegung), dass Cloud-Anbieter und Cloud-Anwender nun eine vertragliche Vereinbarung treffen, die einer Auftragsdatenverarbeitung nach § 11 Abs. 2 BDSG entspricht und so die dort normierten Garantien Gegenstand des Vertrages werden.

Hintergrund ist u.a., dass keine flächendeckende Kontrolle der Selbstzertifizierungen in den USA gewährleistet ist. Sowieso entbehre die Zertifizierung nicht der eigenen Kontrolle. Deutsche Cloud-Anwender müssten vor der ersten Datenübermittlung an ein solches US-Unternehmen prüfen, ob bestimmte Mindestkriterien erfüllt sind. Dies fängt bei der Gültigkeitsprüfung des Zertifikats an und verpflichtet den Cloud-Anwender analog § 11 Abs. 2 Satz 3 BDSG, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Hervorzuheben ist, dass die oben genannten Anforderungen für alle Verträge zwischen US-Cloud-Anbietern und deutschen Cloud-Anwendern ohne Ausnahme gelten, also auch für schon bestehende Verträge. Da dies noch nicht eindeutig geregelt war, kann die Entschließung der Datenschutz-Aufsichtsbehörden die Anpassung einiger Verträge erforderlich machen.

Schwerpunkt: Technische und organisatorische Aspekte

Die Orientierungshilfe legt einen weiteren Schwerpunkt auf die technisch-organisatorische Infrastruktur. Die Entschließung der Datenschutz-Aufsichtsbehörden legt hier einige Mindest-Standards fest:

• Verfügbarkeit: personenbezogene Daten stehen zeitgerecht zur Verfügung und können ordnungsgemäß von autorisierten Benutzern verarbeitet werden.

• Vertraulichkeit: nur Befugte können personenbezogene Daten zur Kenntnis nehmen.

• Integrität: personenbezogene Daten bleiben während der Verarbeitung unversehrt, vollständig und aktuell. Die Funktionsweise der Systeme ist vollständig gegeben.

• Revisionssicherheit: es kann festgestellt werden, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat.

• Transparenz: die Verfahrensweise bei der Verarbeitung personenbezogener Daten ist vollständig, aktuell und in einer Weise dokumentiert, dass sie in zumutbarer Zeit nachvollzogen werden kann.

Die Mindestforderungen der Konferenz

In der Presseerklärung sowie dem Fazit der Entschließung der Konferenz der Datenschutz-Aufsichtsbehörden wurden nochmals die Mindestforderungen bei der Nutzung von Cloud-Computing-Dienstleistungen zusammengefasst. Zu verlangen sind danach mindestens

• offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt und andererseits Aussagen haben, um zwischen den Cloud- Anbietern wählen zu können;
• transparente, detaillierte und eindeutige vertragliche Regelungen der cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass z. B. wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter „umziehen“ kann;
• die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;
• aktuelle und aussagekräftige Nachweise (bspw. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere die Informationssicherheit, die Portabilität und die Interoperabilität betreffen.

Autoren:

Diplom-Jurist (univ.) Michael Stolze, LL.M. LL.M.

Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920

E-Mail-Kontaktformular

E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

• Der Beitrag ist eine Übersetzung unseres Artikels Datenschutz in der Türkei: Datenaustausch zwischen Deutschland und der Türkei (hier finden Sie auch eine türkische Fassung des Beitrags).
• Die vollständige englischsprachige Übersetzung finden Sie hier auf unserer englischsprachigen Webseite unter www.iitr.us.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

• Der Beitrag ist eine Übersetzung unseres Artikels Datenschutz in Dubai: das “DIFC Data Protection Law”.
• Die vollständige englischsprachige Übersetzung finden Sie hier auf unserer englischsprachigen Webseite unter www.iitr.us.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Hintergrund

Die Datenschutz-Aufsichtsbehörden hatten Ende November 2009 einen Beschluss erlassen, wonach die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig sei. Damit war in der Praxis von der Verwendung von Google Analytics in den meisten Fällen abzuraten (siehe hierzu auch unseren Beitrag), bis Google später erste datenschutzkonforme Anpassungsmöglichkeiten vorstellte (vgl. den Beitrag hier).

Abschließender Lösungsvorschlag

Nun ist die Hamburger Datenschutz-Aufsichtsbehörde zu einer abschließenden Lösung mit Google gekommen und empfiehlt, für einen beanstandungsfreien Betrieb von Google Analytics folgende Maßnahmen umzusetzen (vgl. hierzu auch die entsprechende Pressemitteilung):

1. Auftragsdatenverarbeitungsvertrag abschließen: Webseiten-Betreiber müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen (der Vertrag kann hier heruntergeladen werden). Dabei ist zu beachten, dass der Webseitenbetreiber trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber ist und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend der Weisungen handelt (zur Kritik an dem Inhalt dieser Vereinbarung vgl. diesen Beitrag). Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten ein, bei denen Google den Webseitenbetreiber durch Vorlage entsprechender Nachweise unterstützt.
2. Datenschutzerklärung ergänzen: Der Webseitenbetreiber muss die Nutzer der Webseite in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Einen entsprechenden Textentwurf finden Sie am Ende dieses Beitrages.
3. Tracking-Code anpassen: Der Webseitenbetreiber muss durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen. Weitere Details können hier entnommen werden.

Die Hamburger Datenschutz-Aufsichtsbehörde weist zudem darauf hin, dass bislang über Google Analytics erhobene Altdaten gelöscht werden müssen. Google bietet hierfür nach Auskunft der Aufsichtsbehörde Hamburg nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Bitte beachten Sie, dass Sie dabei möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und Ihre Webseiten entsprechend anpassen müssen.

Vorschlag für eine angepasste Datenschutzerklärung

Wir haben den Text von Google Analytics um einige Zeilen (rot markiert) erweitert. Für Vollständigkeit und Richtigkeit übernehmen wir keine Gewähr.

„Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren [Link hier einfügen. Der aktuelle Link ist http://tools.google.com/dlpage/gaoptout?hl=de]. Angesichts der Diskussion um den Einsatz von Analysetools mit vollständigen IP-Adressen möchten wir darauf hinweisen, dass diese Website Google Analytics mit der Erweiterung „_anonymizeIp()“ verwendet und daher IP-Adressen nur gekürzt weiterverarbeitet werden, um eine direkte Personenbeziehbarkeit auszuschließen.“

Autor:

Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920

E-Mail-Kontaktformular

E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Der Wortlaut der Passage im Original lautet:

SEC. 4. RETENTION OF CERTAIN RECORDS BY ELECTRONIC COMMUNICATION SERVICE PROVIDERS.
(a) In General- Section 2703 of title 18, United States Code, is amended by adding at the end the following:
‘(h) Retention of Certain Records- A provider of an electronic communication service or remote computing service shall retain for a period of at least 18 months the temporarily assigned network addresses the service assigns to each account, unless that address is transmitted by radio communication (as defined in section 3 of the Communications Act of 1934).’.
(b) Sense of Congress- It is the sense of Congress that records retained pursuant to section 2703(h) of title 18, United States Code, should be stored securely to protect customer privacy and prevent against breaches of the records.

Vergleiche vertiefend zu der Thematik auch den Beitrag “Internet Privacy May Soon be a Thing of the Past“.

Der Gesetzentwurf befindet sich noch in einem frühen Stadium. Insbesondere fehlen noch die Abstimmungen im US-Repräsentantenhaus sowie im US-Senat.

Allerdings weist die Webseite govtrack.us auf folgenden Umstand hin: “This bill was considered in committee which has recommended it be considered by the House as a whole. Explanation: Although it has been placed on a calendar of business, the order in which legislation is considered and voted on is determined by the majority party leadership. Keep in mind that sometimes the text of one bill is incorporated into another bill, and in those cases the original bill, as it would appear here, would seem to be abandoned.”

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Türkiye´nin Kişisel Verileri Korunması Alanındaki Bugüne Kadarki Durumu

Kişisel verilerin korunması alanında ilk başvurulabilecek kaynak Türk Anayasasıdır. Anayasa’nın dördüncü kısmının ikinci bölümünde “Özel Hayatın Gizliliği ve Korunması” başlığı altında yer alan 20. maddesine göre, “herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir”. Kişinin bu haklarını kullanabilmesi amacıyla Anayasanın 20/II fıkrası gereği, “kimsenin üstü, özel kâğıtları ve eşyası aranamayacağı gibi, bunlara el konulması da mümkün değildir”.

Anayasa Değişikliği Ile 20. Maddeye Eklenen Hüküm

Bu dolaylı kişisel veri korunması dışında Anayasa değişikliği ile Anayasanın 20. maddesine eklenen hükme göre,

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.

Kişisel Verilerin Türk Medeni Kanunu ve Türk Ceza Kanunu Uyarınca Korunması

Anayasanın hükümleri dışında Türk Medeni Kanununun bir kaç maddelerinde yer alan hükümler doğrultusunda “Kişilik Hakkının Korunması” başlığı altında da kişisel veriler korunabilir. Bunun yanı sıra Türk Ceza Kanunu uyarınca kişisel verileri hukuka aykırı işleyen kişilerin cezai sorumluluğu da söz konusudur.

Telekomünikasyon Alanında Elektronik Haberleşme Kanunu

Bu gelişmelerin yanı sıra, Telekomünikasyon alanında Elektronik Haberleşme Kanunu kabul edilmiştir. Bu kanundan evvel Bilgi Teknolojileri ve İletişim  Kurumu tarafından, “Telekomünikasyon Sektöründe Kişisel Bilgilerin Korunması Hakkında Yönetmelik” yayınlanmıştır. Yönetmelik, Telekomünikasyon alanında Avrupa Birliği tarafından çıkarılan direktifler göz önüne alınarak hazırlanmıştır.

Kişisel Verilerin Korunması Kanun Tasarısı

Kişisel verilerin korunması ile ilgili bir kanun tasarısı Bakanlar Kurulunca Nisan 2008 tarihinde kabul edilerek TBMM Başkanlığına gönderilmiştir. Ekim 2008 tarihinden itibaren mecliste kanunlaşma sırasını beklemektedir. Tasarıya genel olarak bakıldığında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin Avrupa Konseyi Konvansyonu ve Avrupa Birliği Veri Koruma Direktifi temel alınmıştır.

Kanun Tasarısının Amacı

Kişisel Verilerin Korunması Kanun Tasarısı (31.12.2008 tarihli ve 5.Mükerrer 27097 sayılı Resmi Gazete) öz olarak kişisel verilerin işlenmesinde kişinin özel hayatını korumayı amaçlamaktadır (KVKKT. m. 1). Düzenlemeler Türk Anayasasının 17. maddesinde ifade edilen kişinin dokunulmazlığı dogrultusu gereğince uyarlanmıştır. Tasarı genel olarak 95/EG/46 Avrupa Birliği Veri Koruma Direktifine uyum sağlamaktadır.

KVKKT 41 madde içermektedir ve ana ilkesi kişisel veriler hakkında özgürce karar verebilme ilkesidir. 6. madde uyarinca kişisel veriler ancak ilgili kişinin açık rızasıyla işlenebilir. Kişisel verilerin üçüncü kişilere aktarılması da ancak kısıtlı hukuki koşullar doğrultusunda gercekleşebilir.

Kişisel Verileri Koruma Kurulu

Tasarının 26. maddesinde bu kanunla verilen görevleri yapmak üzere Kişisel Verileri Koruma Kurulunun kurulacağına yer verilmiştir. Kurulun görev ve yetkilerine tasarının 31. maddesinde yer verilmiştir. Söz konusu kurul Almanya´da Federal Verileri Koruma Görevlisi örnek alinarak yapılmıştır.

Kurul, Bakanlar Kurulunca seçilen yedi üyeden oluşur. Kurul üyelerinin görev süresi altı yıldır. Üyelerin kişisel verileri koruma hususunda özel bilgiye sahip olmalari şart değildir. Tasarının 27. maddesi uyarınca üyelerin yükseköğrenim görmüş ve öğretim kurumlarında en az on yıl öğretim üyeliği yapmış veya özel veya kamu hizmetinde en az on yıl fiilen çalışmış olmaları şarttır.

Kurulun Bağımsızlığı

Kurul, yetkilerini bağımsız olarak kullanacaktır. Hiçbir organ, makam, merci ve kişi Kurulun kararını etkilemek amacıyla emir ve talimat veremez. Tasarının bu madde gerekçesinde kurul, diğer Avrupa Birliğine üye ülkelerdeki bağımsız kuruluşlar örnek alınarak yapıldığına yer verilmiştir.

Yurtdışına Bilgi Aktarımı

Kişisel veriler, ancak şu durumlarda yurtdışına aktarılabilir,

1. İlgili kişinin açık rızasının bulunması.
2. İlgili kişi ile veri kütüğü sahibi arasında bir sözleşmenin yapılması, sözleşme öncesi ilişkinin yürütülmesi veya sözleşmenin ifası için aktarımın gerekli olması.
3. Temel kamu yararının bulunması.
4. Bir hakkın tespiti, icrası veya korunması için yabancı ülkeye aktarımın gerekli veya kanun gereği zorunlu olması.
5. Veri konusu kişinin hayatı veya beden bütünlüğünün idamesi için aktarımın zorunlu olması.
6. Veri aktarımının, ilgili mevzuatın aradığı şartları yerine getirmek koşuluyla kamunun veya (ilgisini ispat eden) herkesin erişimine açık bulunan sicillerden yapılması hallerinde kişisel veriler yurtdışına aktarılabilir.

Almanya Ile Türkiye Arası Bilgi Aktarımı

Türkiye ile Almanya arası olası bilgi aktarımı ceza davaları çerçevesinde büyük önem taşımaktadır.

Ceza Davalarına Ilişkin Almanya Ile Türkiye Arası Bilgi Aktarımı

Almanya adalet bakanlığının 08.08.1997 tarihli Gießen idare mahkemesine verdiği bilgiye göre zaten ceza davalarına ilişkin Türkiye ile Almanya arası düzenli olarak bilgi aktarımı uygulanmaktadır.

Bu her iki ülkenin arasında kendi vatandaşlarına ilişkin cezai yargılamalarında ve bunun devamındaki federal adli sicilinde bulunan sabıka siciline işlenen bilgileri aktarmakta oldukları demektir.

Cezai Bilgilerin Içeriği

Verilen bilgiye göre cezai bilgilerin içeriği kişisel verilerin yanı sıra ilgili kişinin yargılama gününü ve işlediği suçun gününün tarihini kapsamaktadır. Ayrıca hüküm veren mahkemenin ismini ve davanın dosya işaretini, yargılandığı suçun kendisini ve işlediği suçtan dolayı ceza kanunu ve diğer ek kanunlar uyarınca hüküm gördüğü maddeleri içermektedir. Ayrıca da işlediği suçun niteliğini, verildiği cezanın yüksekliğini ve olası feri sonuçları ve feri suçları kapsamaktadır.

Cezai Bilgilerin Aktarımı Ancak Idari Anlaşmadır

Anlaşma ne federal adalet bakanlığı tarafından ne de federal adli sicilin yönetimi ile yetkili federal başsavcı tarafından yayımlanmıştır. Bundan dolayı cezai bilgilerin aktarımına ilişkin anlaşma en fazla Türkiye Cumhuriyeti ve Almanya Federal Cumhuriyeti arasında olan bir idari anlaşma olarak kabul edilebilir. 21.9.1984 tarihli Eğitim Sicili ve Merkez Sicili Kanunu cezai bilgi aktarımına ilişkin kanuni düzenleme içermemektedir.

Bilgi Verilmesine Ilişkin Kanuni Dayanak

Federal Adli Sicil Kanununun 57. maddesinde ilgili makamlara yürürlükteki kanun ve anlaşmalar uyarınca sicilden bilgi verilebileceği düzenlenmişitr.

Buna benzer bir düzenleme uluslararası ceza hukukuna ilişkin hukuki yardım kanununda bulunmaktadır. Adli Sicil Kanununun 57. maddesinde bu bilgi verme bir anlaşma olarak geçmesinden dolayı bir idari veyahut bir hükümet sözleşmesi olamaz. Milli hukuka yasalarca geçen anlaşmalar devletler hukuku antlaşmaları olarak anlaşılabilir. Federal Adli Sicil Kanununda geçen anlaşmalar şekli ve maddi yasalardan başka birşey değildir. Federal adli sicilinden bilgi aktarılmasının kanuni dayanağı Türkiye´de bulunmamaktadır.

Avrupa Ceza Hukukuna Ilişkin Hukuki Yardım Uzlaşması

Türkiye´ye 22.09.1969 tarihinde yürürlüğe giren 20.04.1959 tarihli Avrupa Ceza Hukukuna ilişkin Hukuki Yardım Uzlaşmasının 22. maddesince anlaşmaya tabi olan her ülke diğer ülkeyi kendi vatandaşlarına ilişkin cezai yargılamalarını ve bunun devamındaki sabıka siciline işlenen tedbirleri bildirme ile yükümlüdür. Adalet bakanlıkları birbirlerine bu bilgileri senede en az bir kere aktarmak zorundadırlar.

Hukuki Dayanağın Eksikliği

Milli bir kanuni dayanağın olmaması Türkiye ile olan düzenli bilgi aktarımını ilgili kişiye karşı kanundışı ve anayasaya aykırı kılar ve Alman makamlarının buna ilşikin faaliyetleri de ilgilinin kendi ülkesine iade edilmesini önler ve bu yüzden oldukça büyük bir geri kaçış nedeni oluşturabilir. Federal adli sicilinden bilgi aktarımı federal başsavcı tarafından mı veya adalet bakanlığı tarafından mı Türkiye´ye aktarılması cevapsız bırakılabilir.

Cezai Bilgi Aktarılması, Bir Devletler Hukuku Yükümlülüğü

Ilgili Türk vatandaşını Türkiye´ye iadesinde bu bilgi aktarımından dolayı oluşabilecek dezavantajlardan korunması ne açık ne de Federal hükümet veya adalet bakanlığı tarafından sunulmuştur. Ayrıca devletler hukuku antlaşmalarında gerekli olan bir kişisel verileri koruma koşulu bulunmamaktadır. Bundan hariç adalet bakanlığı ve federal başsavcı tarafından onaylandığı üzere bilgi aktarımı var olmaktadır ve bir ilgili kişi tarafından hakkın korunması talep edildiğinde göz önünde bulundurulmalıdır.

Avrupa Birliği Sınır Güvenliği Makamlarının Haberalma Ağı

AB Avrupa Birliği üyesi ülkelerinin ortak çalışmalarını sıkılaştırmaya ve sınır güvenliği ve kişilerin güvenliğini geliştirmeye yönelik çeşitli önlemler almıştır.

Güvenlik kurumlarının haber alma ağına ulaşabilmerine ve burdan bilgi alabilmelerine yönelik en önemli üç sistem şunlardır,

Schengen Bilgi Sistemi (SIS), Avrupa Vize Sistemi ve Avrupada sığınma arayan ve yasadışı göç eden kişilerin parmak izlerini karşılaştırmaya yarayan Avrupa Otomatik Parmak Izi Tanımlama Sistemi (EURODAC).

Bunun dışında da veri kütükleri arasındaki bilgi aktarımlarının geliştirilmesi amaçlanmaktadır.

Hukuki Dayanak

Bu bilgi sistemlerinin yönetimi çeşitli hukuki kaynaklara dayanmaktadır,

Schengen Bilgi Sistemi (SIS) Avrupa Birliği üyesi ülkelerinin resmi dairelerinin aralarında haber almalarına imkan sağlar ve Schengen Uygulama Sözleşmesi uyarınca zabıta tarıfandan uygulanan kişiler ya da kişisel eşyalar üzerine olan araştırmalarda bilgilerin toplanması, yönetilmesi ve paylaşılmasını sağlar.

Türkiye´nin Olası Ortaklığı

Özellikle Avrupa Birliğine komşu olan ve Türkiye gibi Schengen Antlaşması’na taraf olan ülkeler bu ortak çalışmaya dahil olmaya yatkın ülkelerdir.

Sonuç

Türkiye’de henüz kişisel verileri korumayı amaçlayan kanuni bir düzenleme bulunmamaktadır. Ancak Türkiye, uluslararası alanda kişisel verileri korumayı amaçlayan anlaşmaları imzalamış ve Kişisel Verileri Koruma Kanun Tasarısı ile kendi Kişisel Verileri Koruma Kanununa doğru ilk adımını atmıştır.

Cezai bilgi aktarımına ilişkin Almanya ile Türkiye arası federal adli sicilinden bilgi aktarımını yetkileyen bir kanuni düzenleme bulunmamaktadır. Ne federal adli sicili ne de 13.12.1959 tarihli Avrupa Birliği Sınır Dışı Edilmesi Uzlaşması ya da 3.11.1966 tarihli ceza hukukuna ilişkin hukuki yardım kanununun 20.04.1959 tarihli Avrupa Uzlaşması, yabancı ülkeye federal adli sicilinden düzenli olarak bilgi aktarımını yetkileyen bir düzenleme içermemektedir.

Almanya Federal Cumhuriyeti devletler hukuku uyarınca bilgi aktarımına tabi tutulmuştur fakat, bu yükümlülüğü kendi milli yasalarınca kanunlaştırmamıştır.

Avrupa Birligi üyesi ülkelerinin ortak çalışmalarını sıkılaştırmak ve kişi güvenliğini arttırmak amacıyla Türkiye Avrupa bölgesine yakınlığından dolayı kişisel verilerin aktarımı açışından ortak çalışmalara uygun bir ortaktır.

Autor:
Aysegül Özkan, Augsburg

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Bisherige Gesetzeslage im Bereich des Datenschutzrechts in der Türkei

In erster Linie schützt die türkische Verfassung persönliche Daten in seinem vierten Abschnitt des zweiten Teils unter der Überschrift „Geheimhaltung und Schutz des persönlichen Lebens“. In Artikel 20 beispielsweise ist verankert, dass jeder das Recht auf Rücksicht seines persönlichen, aber auch des Lebens seiner Familie hat. Im Absatz 2 des Artikels ist außerdem niedergeschrieben, dass die Vornahme von Leibesvisitationen, die Untersuchung oder Beschlagnahme von Dokumenten oder privaten Sachen ohne entsprechenden richterlichen Beschluss nicht durchgeführt werden dürfen.

Erweiterung des Artikels 20 im Zuge der Verfassungsänderung

Neben diesem mittelbaren Schutz personenbezogener Daten durch die Verfassung wurde der Artikel 20 im Zuge der jüngsten Verfassungsänderung um die folgende Textstelle erweitert:

„Jedermann hat ein Recht auf den Schutz seiner personenbezogenen Daten. Dieses Recht umfasst, dass jeder über die eigenen persönlichen Daten informiert wird, die Möglichkeit eines Zugriffs auf diese Daten besteht, Korrektur oder Löschung dieser Daten verlangt werden kann und man sich über den zweckmäßigen Gebrauch dieser Daten informieren kann. Die Verarbeitung der personenbezogenen Daten jedoch, wenn dies gesetzlich vorgesehen ist oder die Person deutlich darin eingewilligt hat, ist erlaubt.“

Schutz persönlicher Daten durch das tZGB und das tStGB

Außer durch verfassungsrechtliche Bestimmungen werden personenbezogene Daten außerdem in einigen Paragrafen des türkischen Zivilgesetzbuches unter dem Abschnitt „Schutz der persönlichen Rechte“ geschützt. Auch werden Verstöße gegen den Datenschutz durch das türkische Strafgesetzbuch sanktioniert.

Neues Gesetz auf dem Gebiet des Fernmeldewesens

Darüber hinaus wurde das Elektronische Kommunikationsgesetz auf dem Gebiet des Fernmeldewesens verabschiedet. Im Vorfeld dieses Gesetzes wurde eine „Bestimmung über den Schutz personenbezogener Daten im Bereich der Telekommunikation“ durch das Informationstechnologie- und Kommunikationsinstitut veröffentlicht. Die Bestimmung wurde im Hinblick auf die Regelungsakte der EU auf dem Gebiet der Telekommunikation vorbereitet.

Der Gesetzesentwurf zum Datenschutz

Im April 2008 wurde ein Gesetz mit dem deklarierten Ziel des Datenschutzes durch das Kabinett (Ministerrat) entworfen und an das Präsidium der Nationalversammlung weitergeleitet. Bereits seit Oktober 2008 wartet der Entwurf nun auf seine Kodifizierung.

Im Wesentlichen basiert der Gesetzesentwurf auf der Konvention des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und auf den Richtlinien der EU zum Datenschutz.

Ziel des Gesetzesentwurfs

Im Einzelnen bezweckt der „Gesetzesentwurf zum Schutz der persönlichen Daten – TDSG-E” (Az. 1/576, Abl. 27097 v. 31.12.2008) den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 TDSG-E). Die Regelungen stützen sich auf die durch Art. 17 der türkischen Verfassung gewährleistete Unantastbarkeit der Person. Dabei entspricht der Gesetzesentwurf im Wesentlichen der EU-Datenschutzrichtlinie 95/46/EG.

Herzstück des 41 Artikel umfassenden TDSG-E ist die datenmäßige Selbstbestimmung. Gemäß Artikel 6 bedarf die Verarbeitung persönlicher Daten grundsätzlich der Einwilligung des Betroffenen. Auch die Weitergabe an Dritte soll an enge gesetzliche Voraussetzungen geknüpft sein.

Der Datenschutzrat

Artikel 26 des Entwurfs sieht vor, dass ein Ausschuss zum Schutz personenbezogener Daten gegründet wird, welcher die ihm durch den Gesetzesentwurf zugewiesenen Aufgaben durchführt, die in Artikel 31 festgelegt werden. Er soll an das deutsche Modell des Bundesdatenschutzbeauftragen angelehnt sein.

Er setzt sich aus sieben Mitgliedern zusammen, die vom Ministerrat für eine Amtszeit von sechs Jahren gewählt werden. Eine besondere datenschutzrelevante Vorbildung ist für die Wählbarkeit nicht erforderlich. Art. 27 TDSG-E setzt lediglich einen Hochschulabschluss sowie 10-jähre Berufserfahrung in Wissenschaft oder Praxis voraus.

Unabhängigkeit des Gremiums

Die Ausübung der Kompetenzen durch den Ausschuss erfolgt dabei unabhängig. Kein Gremium, kein Amt, keine Behörde oder Person dürfen dem Ausschuss Anweisungen erteilen, um seine Entscheidungen zu beeinflussen. Ausgehend von der Gesetzesbegründung soll der Ausschuss durch diese Form der Weisungsfreiheit den unabhängigen datenschutzrechtlichen Institutionen der Mitgliedsländer der EU nachempfunden sein.

Datenübermittlung in das Ausland

Personenbezogene Daten dürfen nur in folgenden Fällen in das Ausland transferiert werden:

1. Die betroffene Person hat ihre Einwilligung erteilt.
2. Es wurde zwischen dem Betroffenen und dem Inhaber des übermittelnden Datenregisters ein Vertrag geschlossen und der Datentransfer ist notwendig, um die vorvertraglichen Beziehungen fortzuführen oder den Vertrag zu erfüllen.
3. Es liegt ein besonderes öffentliches Interesse vor.
4. Eine Datenübermittlung in einen Drittstaat ist erforderlich beziehungsweise gesetzlich vorgeschrieben, um ein Recht festzustellen, auszuüben oder zu schützen.
5. Der Datentransfer ist zum Schutze des Lebens und der körperlichen Integrität des Betroffenen unerlässlich.
6. Der Datentransfer erfolgt aus einem Register heraus, das für die Öffentlichkeit und für jedermann einsehbar ist, soweit die vom betreffenden Gesetz verlangten Voraussetzungen erfüllt sind.

Datenaustausch zwischen Deutschland und der Türkei

Interessant wird ein möglicher Datenaustausch zwischen der Türkei und Deutschland besonders im Rahmen von Strafverfahren.

Strafnachrichtenaustausch zwischen Deutschland und der Türkei

Aufgrund der Auskunft des Bundesministeriums der Justiz vom 08.08.1997 an das VG Gießen findet zwischen der Türkei und der Bundesrepublik Deutschland bereits ein regelmäßiger Strafnachrichtenaustausch statt.

Dies bedeutet, jeder Staat unterrichtet den anderen von allen dessen Staatsangehörige betreffenden strafrechtlichen (rechtskräftigen) Verurteilungen und nachfolgenden Maßnahmen, die in das Strafregister – beim Bundeszentralregister – eingetragen worden sind.

Inhalt der Strafnachricht

Inhalt der Strafnachricht sind nach dieser Auskunft neben den persönlichen Daten der Betroffenen das Datum der Verurteilung und der Straftat, die Bezeichnung des erkennenden Gerichts, das Aktenzeichen des Verfahrens, die zur Verurteilung gelangte Straftat nebst der entsprechenden Vorschrift des Strafgesetzbuches und sonstiger strafrechtlicher Nebengesetze sowie Art und Höhe der verhängten Strafe und eventuellen Nebenfolgen oder Nebenstrafen.

Austausch von Strafnachrichten allenfalls Verwaltungsvereinbarung

Die Vereinbarung selbst wurde weder vom Bundesministerium der Justiz noch vom Generalbundesanwalt – welcher für die Registerführung beim Bundeszentralregister zuständig ist – vorgelegt. Es ist insoweit davon auszugehen, dass es sich bei der Vereinbarung über den Austausch von Strafnachrichten allenfalls um eine Verwaltungsvereinbarung zwischen dem türkischen Staat und der Bundesrepublik Deutschland handelt. Eine entsprechende gesetzliche Regelung zum Strafnachrichtenaustausch enthält das Gesetz über das Zentralregister und das Erziehungsregister vom 21.9.1984 nicht.

Gesetzliche Grundlage über Erteilung von Auskunft

In § 57 BZRG ist lediglich geregelt, dass an Stellen eines anderen Staates nach den hierfür geltenden Gesetzen und Vereinbarungen Auskunft aus dem Register erteilt werden könne. Eine ähnliche Regelung enthält das Gesetz über die internationale Rechtshilfe in Strafsachen. Soweit in § 57 BZRG von Vereinbarung die Rede ist, kann es sich dabei nicht um reine Verwaltungsvereinbarungen oder Regierungsvereinbarungen handeln. Unter Vereinbarung sind insoweit völkerrechtliche Vereinbarungen zu verstehen, welche durch förmliches Gesetz in nationales Recht transformiert worden sind. Damit handelt es sich bei den Vereinbarungen nach § 57 BZRG um nichts anderes als um Gesetze im formellen und materiellen Sinne. Eine solche gesetzliche Grundlage für einen Nachrichtenaustausch aus dem Bundeszentralregister zum türkischen Staat liegt jedoch nicht vor.

Europäisches Übereinkommen über die Rechtshilfe in Strafsachen

Zwar regelt Artikel 22 des Europäischen Übereinkommens über die Rechtshilfe in Strafsachen vom 20.04.1959 – für die Türkei in Kraft getreten am 22.09. 1969 -, dass jeder Vertragsstaat den anderen von allen, dessen Staatsangehörige betreffenden strafrechtlichen Verurteilungen und nachfolgenden Maßnahmen, die in das Strafregister eingetragen worden sind, benachrichtigt. Hiernach haben die Justizministerien einander diese Nachrichten mindestens einmal jährlich zu übermitteln.

Fehlen einer Rechtsgrundlage

Fehlt es damit an einer innerstaatlichen Rechtsgrundlage, so erweist sich der turnusmäßige Strafnachrichtenaustausch mit der Türkei als rechtswidrig und grundrechtsverletzend in Bezug auf den Betroffenen und bildet durch aktives Zutun deutscher Stellen – wobei offen bleiben kann, ob die Strafnachrichten vom Bundeszentralregister, dem Generalbundesanwalt oder dem Bundesjustizministerium an die Türkei geliefert werden – einen beachtlichen Nachfluchtgrund, der eine Abschiebung des Betroffenen in sein Herkunftsland vereitelt.

Strafnachrichtenaustausch: eine völkerrechtliche Verpflichtung

Völkerrechtliche Vereinbarungen, welche dem betroffenen türkischen Staatsbürger bei einer Rückkehr in die Türkei einen entsprechenden Schutz vor Nachteilen durch diesen Nachrichtenaustausch gewährleisten, sind weder ersichtlich noch von der Bundesregierung – dem Bundesministerium der Justiz – vorgetragen worden und fehlt es weiter in den völkerrechtlichen Verträgen an der notwendigen Datenschutzklausel. Unabhängig davon findet jedoch, wie vom Bundesministerium der Justiz und vom Generalbundesanwalt bestätigt, ein derartiger Nachrichtenaustausch statt und ist bei der Beurteilung des Rechtsschutzbegehrens zu beachten.

Informationsvernetzung der europäischen Grenzschutzbehörden

Im Hinblick auf die Intensivierung der Zusammenarbeit der Mitgliedstaaten und der Entwicklung eines integralen Grenzschutzes bei der Personenkontrolle hat die EU eine Fülle von Maßnahmen entwickelt.

Bezüglich der Informationsvernetzung sind in erster Linie drei Systeme zu nennen, auf die die Sicherheitsbehörden Zugriff erhalten: das Schengener Informationssystem (SIS), das europäische Visa-Informationssystem (VIS) und die europaweite biometrische Datenbank für den Vergleich von Fingerabdrücken von Asylbewerbern und illegalen Migranten (EURODAC). Ferner soll der Informationsaustausch zwischen nationalen Datenbanken verbessert werden.

Rechtsgrundlage

Die Administration dieser Informationssysteme beruht auf unterschiedlichen Rechtsgrundlagen:

Das Schengener Informationssystem (SIS) ermöglicht den Behörden der Mitgliedstaaten den Zugriff auf eine dialoggesteuerte Datenbankanwendung zur Bereitstellung und Verwaltung von Datensätzen zur polizeilichen Fahndung nach Personen und Sachen gemäß dem Schengener Durchführungsübereinkommen (SDÜ).

Türkei als möglicher Partner

Insbesondere die an die EU angrenzenden Staaten und die Türkei, die ohnehin bereits dem Schengen-Raum angenähert ist, sind naheliegende Partner für eine erweiterte Zusammenarbeit.

Fazit

In der Türkei gibt es bisher noch keine gesetzliche Regelung, welche den Schutz persönlicher Daten zum Gegenstand hat. Jedoch hat die Türkei auf der internationalen Ebene die Verträge zum Datenschutz unterzeichnet und durch den Gesetzentwurf zum Schutz personenbezogener Daten einen ersten Schritt in Richtung eines eigenen Datenschutzgesetzes getan.

Hinsichtlich eines Strafnachrichtenaustauschs zwischen Deutschland und der Türkei fehlt eine entsprechende gesetzliche Regelung zur Ermächtigung der Übermittlung aus dem Bundeszentralregister. Weder das Bundeszentralregistergesetz noch das Gesetz zu dem Europäischen Auslieferungsübereinkommen vom 13.12.1959 und dem Europäischen Übereinkommen vom 20.4.1959 über die Rechtshilfe in Strafsachen vom 3.11.1964 enthalten Ermächtigungen, Auszüge aus dem Bundeszentralregister an einen ausländischen Staat als Regelübermittlung zukommen zu lassen.

Insoweit hat die Bundesrepublik Deutschland sich zwar völkerrechtlich zu einem Strafnachrichtenaustausch verpflichtet, diese Verpflichtung nationalstaatsrechtlich jedoch nicht umgesetzt.

Im Bezug auf die Intensivierung der Zusammenarbeit der Mitgliedstaaten im Bereich des Grenzschutzes und der Personenkontrolle ist die Türkei durch die Nähe an den europäischen Raum ein naheliegender Partner für eine engere Zusammenarbeit hinsichtlich des Datenaustauschs.

Autor:
Aysegül Özkan, Augsburg

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Dubai als Teil der VAE

Die Vereinigten Arabischen Emirate (VAE) sind eine Föderation von sieben Emiraten, darunter auch das Emirat Dubai. Das gemeinsame Bundesrecht der VAE regelt Auswärtige Angelegenheiten, Polizei, Verteidigung, Geheimdienst, Verkehrswesen, Erziehung, Gesundheitspolitik, Währung, Pass- und Ausländerrecht. Jedoch üben die einzelnen Emirate auch auf diese Politikfelder großen Einfluss aus; erst Recht gilt dies in ihren eigenen Kompetenzfeldern. Das Bundesrecht, aber auch das Recht der einzelnen Emirate unterliegt im Grundsatz der folgenden Normenhierarchie: 1. Verfassung, 2. Bundes- und Emiratsgesetzgebung, 3. Schari’a, 4. Handelsbräuche und Praxis. Nach Saudi-Arabien sind die VAE die zweitgrößte Volkswirtschaft der Region.

Datenschutzregelungen in Dubai

In Dubai selbst sind Handel, Tourismus, Finanzdienstleistungen, Luft- und Frachtverkehr nur einige der dort bedeutenden Wirtschaftssektoren. Der Emir von Dubai rief am 16. Februar 2002 das Dubai International Financial Centre (DIFC) ins Leben. Dafür gilt innerhalb der DIFC ein Sonderrecht, das u.a. auch ein Datenschutzgesetz beinhaltet.

Auslegungsrahmen: Verfassung der VAE

Als Auslegungsgrenze dieses Datenschutzgesetzes ist die Verfassung der VAE zu berücksichtigen. Sie selber sieht kein eigenes Grundrecht auf informationelle Selbstbestimmung vor. Dennoch gilt nach Artikel 26 der Verfassung die Freiheit der Person; aus der sich Teilaspekte des Datenschutzes ergeben können.

Gestaltung des DPL-DIFC 07

Das DPL-DIFC 07 ist übersichtlich gestaltet. Es besteht aus 35 so genannten „Articles“, die in ihrem Umfang den deutschen Paragraphen (§§) ähneln. Hinzutritt ein so genannter „Schedule“ mit drei weiteren „Articles“. Insgesamt erinnert das Regelungskonzept an die angelsächsische Gesetzgebung, insbesondere an den britischen Data Protection Act 1998 (im Folgenden als „DPA 1998“ bezeichnet).

Das DPL-DIFC 07 im Überblick

An weniger bedeutende Ordnungsvorschriften, etwa zur Zitierweise oder Anwendbarkeit („Articles“ 1 bis 7 DPL-DIFC 07), schließen sich allgemeinverbindliche Regeln zur Zulässigkeit einer Datenverarbeitung („Articles“ 8 bis 10 DPL-DIFC 07) an. Darauf folgen Vorschriften zum Datentransfer ins Ausland („Articles“ 11 bis 12 DPL-DIFC 07), zu Transparenzpflichten („Articles“ 13 bis 14 DPL-DIFC 07), zu Sicherheitsfragen („Articles“ 15 bis 16 DPL-DIFC 07) und zu den Rechten der Betroffenen („Articles“ 17 bis 18 DPL-DIFC 07); mit Ausnahme des Schadenersatzanspruches, der in „Article“ 35 DPL-DIFC 07 geregelt ist. Danach räumt der DPL-DIFC 07 dem Thema Aufsichtsbehörde einen vergleichsweise großen Raum ein („Articles“ 19 bis 33 DPL-DIFC 07). „Article“ 34 DPL-DIFC 07 regelt die Zugangsmöglichkeit zu Gericht. Darauf folgt das „Schedule“ mit erläuternden Vorschriften.

Aufbau des DPL-DIFC 07

• Das DPL-DIFC 07 ist wie folgt aufgebaut:
• Part 1 (Articles 1 – 7): GENERAL
• Part 2 (Articles 8 – 16): GENERAL REGULATIONS ON THE PROCESSING OF PERSONAL DATA
• Part 3 (Articles 17 – 18): RIGHTS OF DATA SUBJECTS
• Part 4 (Articles 19 – 20): NOTIFICATIONS TO THE COMMISSIONER OF
• DATA PROTECTION
• Part 5 (Articles 21 – 31): COMMISSIONER OF DATA PROTECTION
• Part 6 (Articles 32 – 35): REMEDIES, LIABILITY AND SANCTIONS SCHEDULE

„Articles“ 8 bis 16: Allgemeine Regelungen

Dieser Abschnitt kann als Allgemeiner Teil des Datenschutzrechts bezeichnet werden. „Article“ 8 DPL-DIFC 07 regelt die Datenschutzprinzipien; etwa den Zweckbindungsgrundsatz oder die Datenrichtigkeit. Auffällig sind die Ähnlichkeiten zum Wortlaut des britischen DPA 1998. Zudem lässt sich festhalten, dass die Datenschutzprinzipien in einigen Teilen denen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr teilweise wortgenau übernommen wurden.

So regelt „Article“ 8 DPL-DIFC 07 die folgenden Datenschutzprinzipien:

• Verarbeitung nach Recht und Gesetz, Treu und Glauben („Article“ 8 (1) (a))
• Zweckbindungsgrundsatz („Article“ 8 (1) (b))
• Datenrichtigkeit („Article“ 8 (1) (c) (d), (2))
• Datensparsamkeit (v.a. in zeitlicher Hinsicht) („Article“ 8 (1) (e))

Verbot mit Erlaubnisvorbehalt

„Article“ 9 DPL-DIFC 07 installiert das Verbot mit Erlaubnisvorbehalt. In der Vorschrift heißt es: „Personal Data may only be processed if”. Mithin gilt auch hier der europäische Grundsatz des Regel-Ausnahme-Prinzips: danach sind Datenverarbeitungen grundsätzlich unzulässig und nur ausnahmsweise gerechtfertigt, nämlich wenn der Betroffene entweder eingewilligt hat oder das Gesetz die Verarbeitung erlaubt.

Einwilligung muss schriftlich erteilt werden

Eine Einwilligung kommt nach dem Datenschutzrecht in Dubai nur dann als Erlaubnisgrund in Betracht, wenn sie schriftlich erteilt wird („Article“ 9 (1) (a) DPL-DIFC 07).

Datenverarbeitung ohne Einwilligung

Es gibt daneben vier einwilligungsunabhängigen Tatbestände („Article“ 9 (1) (b) – (f) DPL-DIFC 07). Diese lassen sich dahingehend zusammenfassen, dass eine Verarbeitung ohne Einwilligung nur zulässig ist, wenn überwiegende Interessen Dritter oder des Allgemeinwohls dies rechtfertigen. „Article“ 10 DPL-DIFC 07 verengt diese Erlaubnistatbestände für die Kategorie der sensiblen Daten, ähnlich wie unter dem Regime der europäischen Datenschutzrichtlinie.

Regelung des technischen Datenschutzes

Von herausragender Bedeutung ist zudem „Article“ 16 DPL-DIFC 07. Hiernach ist jede verantwortliche Stelle verpflichtet, „appropriate technical and organizational measures to protect Personal Data against wilful, negligent, accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access and against all other unlawful forms of Processing, in particular where the Processing of Personal Data is performed pursuant to Article 10 or Article 12 above” einzurichten. Die Parallelen zu den europäischen Vorgaben sind hier unübersehbar.

Rechte der Betroffenen

Die Rechte der Betroffenen sind in den „Articles“ 17 – 18 DPL-DIFC 07 geregelt. Sie umfassen das Recht auf Auskunft, Berichtigung, Löschung und Sperrung („Article „17 DPA-DIFC 07). Die Voraussetzungen entsprechen im Wesentlichen den europäischen Standards (Artt. 12 ff. Datenschutzrichtlinie). Eine Löschung ist jedenfalls erforderlich, wenn die Speicherung unzulässig ist.

Datenschutz-Aufsicht in Dubai

Teile 4 und 5 des DPL-DIFC 07 widmen sich der Aufsichtsbehörde, die in Dubai als „Commissioner of Data Protection“ bezeichnet wird. Die „Articles“ 21 bis 24 DPL-DIFC 07 setzen sich mit den Aufgaben und Beginn und Ende der Amtszeit des Commissioner auseinander. „Article“ 25 DPL-DIFC 07 umschreibt die grundsätzlichen Befugnisse der Aufsichtsbehörde. Hierbei hat sie viele Einzelbefugnisse (etwa ein eigenes Klagerecht in „Article“ 25 (3) (d) DPL-DIFC 07).

Von Bedeutung ist zudem „Article“ 25 (4) DPL-DIFC 07. Dort heißt es: „The Commissioner of Data Protection has power to do whatever he deems necessary, for or in connection with, or reasonably incidental to, the performance of his functions.“

Fazit

Das im Jahr 2007 geschaffene Datenschutzrecht in Dubai wurde stark an das europäische Recht angelehnt. Unterschiede gibt es bei der Ausführlichkeit der gesetzlichen Regelungen: im DPL-DIFC 07 sind Generalklauseln und kurze Normen die Regel; in europäischen Gesetzen ist dies eher die Ausnahme. Dubai wählt mit diesen gesetzlichen Regelungen einen für die Region interessanten Schritt zur Stärkung der eigenen Wirtschaftsregion, da langfristig die Auslagerung von Datenverarbeitungsprozessen aus Europa in vergleichbar regulierte Regionen einfacher möglich sein sollte.

Autor:
Rechtsreferendar Dr. Stephan Gärtner, Berlin.

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Einführung in datenschutzrechtliche Themenstellungen

Am Vormittag führten die Referenten Herr Dr. Thilo Weichert (Leiter des ULD), Herr Professor Dr. Utz Schliesky (Direktor des schleswig-holsteinischen Landtages), Herr Dr. Christian Grugel (Abteilungsleister Verbraucherpolitik im BMELV) und Herr Lars Reppesgaard (Buchautor) kurz in datenschutzrechtliche Themenstellungen ein.

Spannungsfeld Entfaltungsfreiheit und Schutz der Persönlichkeitsrechte

Herr Dr. Weichert schilderte das generelle Spannungsfeld datenschutzrechtlicher Regelungen zwischen Entfaltungsfreiheit und dem Schutz der Persönlichkeitsrechte. Besonderes Augenmerk richtete er auf die Datenübermittlung in die USA sowie die Verarbeitung personenbezogener Daten durch US-Unternehmen und kritisierte hierbei die „Unzuständigkeitsausflüchte“ der Unternehmen. Zudem kritisierte er die Intransparenz der Verarbeitung personenbezogener Daten bei Webdiensten (vgl. hierzu die Diskussion um den Facebook Like Button) und forderte eine Art „Herstellerhaftung“ für IT-Unternehmen hinsichtlich datenschutzkonformer Datenverarbeitungsstandards (vgl. vertiefend die Eröffnungsrede von Herrn Dr. Weichert).

Verantwortung des mündigen Bürgers

Herr Professor Dr. Schliesky unterstrich die Verantwortung des mündigen Bürgers im Umgang mit seinen Daten und ging im Folgenden vertieft auf das Theme eGovernment, verwendete Begrifflichkeiten und staatsrechtliche Aspekte (Stichwort „Systemverantwortlichkeit“) insbesondere beim Ensatz von Drittdienstleistern durch die öffentliche Hand ein (vgl. vertiefend das E-Governement Gesetz für Schleswig Holstein und den Vortrag von Herrn Professor Dr. Schliesky).

Offen: Rechtsdurchsetzung im Internet

Herr Dr. Grugel vom BMELV thematisierte die offene Frage der Rechtsdurchsetzung im Datenschutz und widmete sich im Schwerpunkt dem Thema der sozialen Netzwerke (vgl. vertiefend den Vortrag von Herrn Dr. Grugel).

“Greenpeace für Datenschutz”

Als letzter Einzelredner am Vormittag sprach Herr Reppesgaard, der vor allem die Konzerne im Umgang mit personenbezogenen Daten kritisierte und die Schaffung einer Organisation „Greenpeace für Datenschutz“ („Datapeace“ genannt) forderte. Zudem sei davon auszugehen, dass die eigentlichen Datenkatastrophen noch kommen würden (vgl. vertiefend den Vortrag von Herrn Reppesgaard).

Themensetzung und Selbstverständnis von deutschen Datenschutzregelungen 

In der anschließenden Podiumsdiskussion (vgl. vertiefend auch die Pressemitteilung des ULD hierzu), an der auch Herr Dr. Peter Fleischer, Global Privacy Counsel von Google, teilnahm, wurden insbesondere grundlegende Fragen über Bedeutung, Themensetzung und Selbstverständnis von deutschen Datenschutzregelungen diskutiert (so zum Beispiel die zugespitzte Frage eines Teilnehmers, ob „am deutschen Wesen das Internet genesen solle“ oder ob nicht vielmehr „eine Genesung des deutschen Wesens am Internet“ wünschenswert sei).

“Privacy by prohibition”

Herr Dr. Fleischer unterstrich das Bemühen von Google, den gesetzlichen Bestimmungen von nahezu 200 Ländern zu entsprechen, führte indes auch aus, dass der Blick im Ausland auf den deutschen Datenschutz (in Anlehnung an die Schlagworte „privacy by design“ und „privacy by default“) häufig mit „privacy by prohbition“ umschrieben werde. Herr Dr. Fleischer betonte, dass die Diskussion um Google Analytics in den nächsten Wochen mit einer anerkannt rechtskonformen Lösung beendet werden solle.

Datenschutzregelungen an die Realität des Internets anpassen

Herr Dr. Weichert unterstrich seine Forderung, dass die Datenschutzregelungen an die Realität vor allem des Internets angepasst werden müssten, betonte aber auch seinen Standpunkt, dass ausserhalb der EU beim Datenschutz mit wenigen Ausnahmen „Anarchie“ herrsche und daher ein „reguliertes Verantwortungsmanagement“ durch die EU erstrebenswert sei.

Workshop „Datenschutz neu denken”

In den anschließenden Workshops und Infobörsen hatten die Besucher die Möglichkeit, nach jeweiligem Interessenschwerpunkt vertiefende Veranstaltungen zu besuchen.

Im Workshop „Datenschutz neu denken“ skizzierten die Referenten in Kurzvorträgen ihr jeweiliges Bild vom Datenschutz, wobei die Unterschiede zwischen der Betonung der Freiheit des Individuums im Umgang mit seinen Daten und dem Ansatz, das Individuum durch staatliche Maßnahmen quasi „vor sich selbst“ schützen zu wollen, deutlich hervortraten.

Was wollen die Bürger eigentlich?

Herr Dr. Helmut Bäumler, ehemaliger Leiter des ULD, forderte eine Rückbesinnung auf die Fragstellung, was die Bürger eigentlich wollten und Herr Jürgen Kuri, stellvertretender Chefredakteur der c’t, führte aus, dass die Freiheit des Menschen wieder stärker in den Vordergrund der Diskussion gerückt werden müsse. Zudem berge die zunehmende Verrechtlichung des Datenschutzes die Gefahr, dass die gesellschaftlichen Auswirkungen datenschutzrechtlicher Regelungen nicht ausreichende berücksichtigt würden.

Stärkung der Selbstregulierung

Herr Jan Kottmann, Leiter Medienpolitik und European Policy Counsel der Google Germany GmbH, forderte eine stärkere Differenzierung in Datenarten und kritisierte das Prinzip des „Verbots mit Erlaubnisvorbehalt“. Zudem forderte er eine Stärkung der Selbstregulierung, um mit der Geschwindigkeit technischer Entwicklungen angemessen Schritt halten zu können. Er regte zudem eine Umgestaltung der Landesdatenschutzaufsichtsbehörden in eine den Landesmedienanstalten vergleichbare Struktur an, um in der Datenschutzaufsicht zu einer einheitlicheren und für Unternehmen damit verlässlicheren Linie zu gelangen.

Welche Aufgabe hat der Datenschutz?

Herr Martin Rost vom ULD stellte in seinem Statement vor allem die Frage in den Vordergrund, welche gesamtgesellschaftliche und aus seiner Sicht demokratienotwendige Aufgabe der Datenschutz erfülle.

Social Media und Cloud Computing

Bei den Teilnehmern großes Interesse weckten auch die Beiträge von Herrn Dr. Moritz Karg (ULD) und Herrn Sven Thomsen (ULD) zum Thema „Social Media in Organisationen“ und von Frau Ninja Marnau (ULD) und Frau Eva Schlehahn (ULD) zum Thema „Vertrauenswürdiges Cloud Computing“.

Weitere Workshops und Infobörsen

Die ebenfalls sehr lesenswerten Folien zu den übrigen Workshops und Infobörsen „Informationszugang/Open Data/Open Government vs. Amtsgeheimnis“, „Fehlerquellen in der Datenverarbeitung ─ Die Haftungsfalle schnappt zu“, „Verantwortung im Sicherheitsbereich“, „Privates Inkasso für die öffentliche Hand“, „Smart Meter und Smart Grid“ und „Wenn andere Daten verarbeiten ─ von A(uftragsdatenverarbeitung) bis Z(ertifizierung)“ wurden im Internet veröffentlicht (durch Klick auf den jeweiligen Vortrag).

IT-Verantwortung in Schleswig-Holstein

Die Veranstaltung schloss mit einer Vorstellung der in den Workshops erarbeiteten Ideen und ging in einer abschließenden Diskussion auf das Thema „IT-Verantwortung in Schleswig-Holstein“ ein.

Fazit

Die mit großem Engagement des ULD organisierte Sommerakademie hat aus meiner Sicht einen Überblick über die aktuellen Datenschutzthemen gegeben. Gerade in den Podiumsdiskussionen wurde dabei das breite Meinungsspektrum über das Ob und Wie datenschutzrechtlicher Regelungsansätze deutlich. Daneben entwickelt sich die Sommerakademie immer mehr zum inoffiziellen Branchentreffen für Datenschutzbeauftragte und norddeutsche Aufsichtsbehörden, die sich über aktuelle Datenschutzthemen austauschen können.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Hintergrund

Die Datenschutz-Aufsichtsbehörde in Schleswig-Holstein hat am 19. August 2011 per Pressemitteilung veröffentlicht, dass nach ihrer Ansicht die Einbindung des Facebook Like Buttons datenschutzwidrig sei. In einer Passage des in diesem Zusammenhang durch die Aufsichtsbehörde erstellten Gutachtens wurde zudem ausgeführt, dass wohl auch eine Einwilligung keine ausreichende Grundlage bilden könne (S. 20 ff.).

Wer ist betroffen?

Die Entscheidung der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein hat zunächst Bedeutung für in Schleswig-Holstein ansässige Unternehmen und Webseitenbetreiber. Die Behörde gab an (vgl. das entsprechende Youtube-Interview), mit der Maßnahme nicht „den kleinen Webseitenbetreiber“ sondern Facebook im Visier zu haben. Die Entscheidung hat keine direkte Auswirkung auf Unternehmen in anderen Bundesländern. Allerdings hat sich mittlerweile auch die niedersächsische Aufsichtsbehörde der Rechtsauffassung der Kieler Kollegen angeschlossen, vgl. “Information für Webseitenbetreiber mit Sitz in Niedersachsen” und “Friesland schaltet Facebook-Seite ab“.

Reaktion

Sowohl die datenschutzrechtliche Einschätzung als auch die Art und Weise des Vorgehens stehen in Frage (vgl. zum Beispiel unseren Artikel (“Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen“) oder auch die Beiträge der Kollegen Schmidt (“Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht?“), Stadler (“Wie geht es weiter mit dem Datenschutz?“) und Härting (“Öffentlichkeitsarbeit einer Landesbehörde: Warum die „Facebook-Kampagne“ des ULD verfassungswidrig ist“) sowie die Pressemitteilung der Landesregierung Schleswig-Holstein (“Facebook und Datenschutz: Chef der Staatskanzlei Dr. Wulff spricht mit Landesbeauftragtem für Datenschutz – Bürgerbeteiligung weiter stärken“)).

Lösungsvorschlag

In Folge der Diskussion wurde das von Herrn Jens Ferner (schon seit einiger Zeit im Einsatz befindliche) Zusatz-Plugin von der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein für im Grundsatz zulässig erachtet: dieses Tool „aktiviert“ den Facebook Like-Button erst nach dem Klick auf eine entsprechende Einwilligung (weitere Details zu diesem Tool finden sich hier).

Was sollten Webseitenbetreiber beachten?

1. Die datenschutzrechtliche Zulässigkeit ist nach wie vor umstritten. Es gibt gute Argumente für beide Seiten. Höherinstanzliche Gerichtsurteile zu den in Frage stehenden Aspekten existieren bislang nicht. Beobachten Sie daher die weitere rechtliche Entwicklung (bspws. über unseren Newsletter).
2. Neben der Möglichkeit einer Auseinandersetzung mit der Datenschutz-Aufsichtsbehörde sollten Sie auch die wettbewerbsrechtliche Seite (sprich das (ebenfalls umstrittene) Abmahnrisiko) in Ihre Entscheidung über den Einsatz des Facebook Like Buttons mit einfließen lassen.
3. Gerade Webseiten-Betreiber in Schleswig-Holstein und Niedersachsen sollten eine Anpassung des Facebook-Like Buttons in Erwägung ziehen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

In der Pressemitteilung heißt es weiter:

Meine Befürchtungen hinsichtlich der zunehmenden Verwendung der Steuer-ID in den verschiedensten Lebensbereichen haben sich leider bestätigt. Ich stelle mit Besorgnis fest, dass die Verwendungsmöglichkeiten der Steuer-ID schleichend ausgeweitet werden. Nicht nur Finanzbehörden, sondern auch Banken, Versicherungen und Krankenkassen verwenden mittlerweile die Steuer-ID. Wer heute ein Konto eröffnen will oder Elterngeld beantragt, muss dafür seine Steuer-ID angeben. Damit droht die Steuer-ID durch die Hintertür zu einem allgemeinen Personenkennzeichen zu werden, eine Entwicklung, die von Verantwortlichen bei der Einführung der Steuer-ID vehement bestritten wurde.

Durch die Steuer-ID wurden erstmals alle Bundesbürger in einer zentralen Datenbank dauerhaft erfasst.

Schaar: Durch die Erweiterung der unter der Steuer-ID gespeicherten Daten etwa um Angaben zur Religionszugehörigkeit oder zu Familienangehörigen hat der Staat einen umfangreichen zentralen Datenbestand geschaffen, der für verschiedene Stellen von Interesse ist. Schon diese Daten enthalten Informationen über unterschiedliche Lebensumstände eines jeden Bürgers. Wenn zudem auch weitere Dateien über die Steuer-ID verknüpfbar würden, verstärkt sich die Gefahr der Bildung aussagekräftiger Persönlichkeitsprofile. Besonders bedenklich ist, wenn dies ohne Kenntnis der Betroffenen geschieht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Einführung

Der mit der letzten BDSG-Novelle eingefügte § 34 Absatz 4 BDSG steht nun seit einiger Zeit im Gesetz. Hintergrund war die Überlegung der Bundesregierung (führend des Bundesministeriums des Inneren), „dass – insbesondere beim Einsatz der Scoringverfahren – die Betroffenen die von einer Auskunftei ihnen oder ihren potentiellen Vertragspartnern erteilte Auskunft oftmals nicht nachvollziehen können.“ (Pressemitteilung des Bundesministeriums des Inneren, “Mehr Transparenz bei Auskunfteien“).

Ziel der Regelung: Gegenüber Betroffenen Transparenz schaffen

In dieser Ausgangslage entstand § 34 Absatz 4 BDSG und insbesondere dessen Nummer 4. Seine „Mission“ lautete, die in der EU-Datenschutzrichtlinie geforderte Transparenz beim Scoring wiederherzustellen. Der Regelungsgehalt ist einfach: Die Auskunfteien sind hiernach verpflichtet, den Betroffenen einzelfallbezogen und nachvollziehbar; jeweils in allgemein verständlicher Form zu erklären, was hinter dem jeweiligen „Score-Wert“ steckt.

In der Praxis waren nun vereinzelte Fälle zu beobachten, in denen die Betroffenen stets alle Rechnungen zahlten und dennoch einen schlechten „Score-Wert“ erhielten. Wollte man nun gemäß § 34 Absatz 4 S. 1 Nr. 4 BDSG etwas über das Zustandekommen dieses vermeintlich widersprüchlichen „Score-Wertes“ erfahren; insbesondere über die Diskrepanz zwischen hoher Bonität und schlechtem „Score-Wert“, weigerten sich einige Auskunfteien, dies im Detail zu erklären.

Was ist eigentlich ein „Score-Wert“?

§ 28b BDSG bietet eine Legaldefinition. Der Gesetzgeber versteht unter einem „Score-Wert“ den „Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen“. Bezugspunkt ist stets eine wirtschaftliche Betrachtungsweise, denn es geht um die Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses. Mit anderen Worten: Der „Score-Wert“ sagt aus, wie wahrscheinlich es ist, dass der Betroffene auch morgen noch seine Rechnungen zahlt.

Warum brauchen Unternehmen diese Informationen?

Eine volks- und rechtswissenschaftliche Doppelanalyse, die Anfang 2011 veröffentlicht werden konnte, hat hierauf die folgende Antwort gefunden: „Ausfallrisiken beschreiben die Gefahr, dass die für die Zukunft versprochene Gegenleistung wegfällt. Geschieht dies massenhaft, kann dies im Extremfall zum Zusammenbruch einer Volkswirtschaft führen. Daher besteht in ganz Europa ein öffentliches Interesse an der Minimierung dieser Risiken. Das geeignete Mittel hierzu ist eine verantwortungsvolle Vertragspolitik, die auf Bonitätsprüfungen beruht. Daher werden letztere durch das öffentliche Interesse erfasst.“ (Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht, Verlag Dr. Kovac, Hamburg, 2011, Seite 60).

Mit anderen Worten: Wenn ein Unternehmen einem Verbraucher gegenüber in Vorleistung tritt (z.B. durch Kreditvergabe oder Ratenkauf), geht es damit ein Risiko ein; nämlich, dass der Verbraucher doch nicht die für die Zukunft fällige Gegenleistung erbringt. Dieses Risiko ist derart groß, dass ein Unternehmen ein berechtigtes Interesse hat abzuschätzen, ob der Verbraucher seine Raten voraussichtlich zahlen wird.

Weshalb ist überhaupt eine gesetzliche Regelung des Scorings erforderlich?

Die oben bereits benannte, volks- und rechtswissenschaftliche Doppelanalyse hat aufgezeigt, welche Konsequenzen eine schlechte Bonitätsbewertung haben kann:

„erste Stufe: leichte Beeinträchtigungen laufender Verträge

zweite Stufe: leichte Beeinträchtigungen zukünftiger Verträge

dritte Stufe: Verweigerung zukünftiger Verträge

vierte Stufe: Verlust laufender Verträge

fünfte Stufe: Beeinträchtigungen des Wohnbedürfnisses

sechste Stufe: Beeinträchtigungen des Arbeitsbedürfnisses“

(Stephan Gärtner: Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts. Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht, Verlag Dr. Kovac, Hamburg, 2011, Seite 69).

Es zeigt sich, dass ein Scoring für den Betroffenen einschneidende Folgen haben kann, deren willkürlichen Eintritt der Gesetzgeber zu verhindern sucht.

Zentrale Frage: Auskunftsanspruch nach § 34 Absatz 4 S. 1 Nr. 4 BDSG?

Die alles entscheidende Frage lautet nun: Haben die Betroffenen einen Anspruch auf Auskunft über die Hintergründe der Diskrepanz zwischen hoher Bonität und schlechtem „Score-Wert“ und wenn ja, welche Informationen sind von diesem Auskunftsanspruch umfasst?

Auslegung von § 34 Absatz 4 S. 1 Nr. 4 BDSG

Bereits die Formulierung des „Zustandekommens“ im Rahmen von § 34 Abs. 4 S. 1 Nr. 4 BDSG lässt vermuten, dass der Betroffene einen Anspruch darauf hat zu erfahren, welche Umstände conditio sine qua non für seinen schlechten „Score-Wert“ sind. Dann wäre darin auch die Erklärung enthalten, warum bestimmte positive Umstände sich nicht entsprechend niederschlagen. Mithin legt dieser Wortlaut einen Auskunftsanspruch über die Hintergründe einer möglichen Diskrepanz zwischen hoher Bonität und schlechtem „Score-Wert“ sehr nah.

Im Übrigen beruht der neue § 34 Absatz 4 BDSG auf der Richtlinie 95/46/EG (BT-Drs. 16/10529, Seite 11), die in ihren Erwägungsgründen ganz ausdrücklich darauf hinweist, dass die Auskunft den Betroffenen in die Lage versetzen muss, die Rechtmäßigkeit des Datenumgangs zu überprüfen. Dies ist im oben genannten Fall nur dann möglich, wenn der Betroffene die Diskrepanz versteht.

Die Betroffenen müssen erfahren, ob und warum sie trotz guter Zahlungsmoral als schlechte Kunden bezeichnet werden dürfen. Diese Informationsmöglichkeiten müssen durch ihre Nachvollziehbarkeit sicherstellen, dass die Akzeptanz des Scoring-Systems insgesamt in der öffentlichen Wahrnehmung nicht beeinträchtigt wird und dadurch kein Druck auf die Politik entsteht, Änderungen herbeizuführen, welche das Interesse der Wirtschaft, durch das Scoring eine taugliche Kalkulationsbasis zu erhalten, beeinträchtigt mit der weiteren Folge, dass feilgebotene Dienstleistungen sich verteuern würden, weil die Ausfallsicherheit nicht mehr zutreffend abgeschätzt werden kann.

Spannungsverhältnis zu den Geheimhaltungsinteressen der Auskunfteien

Auskunfteien investieren sehr viel Geld in die Entwicklung und Aktualisierung ihrer Scoringformeln. Es muss mithin verhindert werden, dass durch die Auskunftsansprüche diese Formeln in der Breite bekannt werden.

Daher findet der Anspruch auf Transparenz seine Grenze dort, wo die Scoringformeln offenbart werden sollen. Diese Negativvoraussetzung ist stets zu berücksichtigen.

Zu allgemein gehalten Auskünfte sind nicht ausreichend

Nun könnte der Versuch unternommen werden, den hier skizzierten Auskunftsanspruch dadurch zu erfüllen, dass man den Betroffenen anhand von allgemein gehaltenten Informations-Schreiben erklärt, dass sie aufgrund trennscharfer, statistischer Erfahrungen trotz ihrer guten Zahlungsmoral ein Risiko darstellen. Oftmals wird von Vergleichsgruppen gesprochen.

Diese Erklärung reicht jedoch in der Regel nicht aus, um den Auskunftsanspruch zu erfüllen. Denn damit kann der Betroffene noch immer nicht beurteilen, ob das auf ihn angewendete Scoring zulässig ist oder nicht. Vielmehr muss die Auskunft so detailliert sein, dass die allgemeinen Grundsätze des Datenschutzrechts – etwa die Datenrichtigkeit – und die Voraussetzungen des § 28b BDSG überprüft werden können.

Fazit

Die Verwendung von „Score-Werten“ ist wichtiges Instrument, um die Volkswirtschaft vor erheblichen Ausfallrisiken zu schützen. Dennoch kann die Verwendung dieses Verfahrens die Lebensführung der Betroffenen erheblich beeinträchtigen. Diesem Konflikt kann nur dadurch effektiv begegnet werden, dass das Verfahren gegenüber den Betroffenen möglichst transparent gestaltet wird. Wenn die Betroffenen stets ihre Rechnungen zahlen und dennoch einen schlechten „Score-Wert“ erhalten, steht ihnen ein Auskunftsanspruch zur Verfügung, welche besonderen Umstände zu dieser Bewertung geführt haben.

Autor:
Rechtsreferendar Dr. Stephan Gärtner, Berlin.

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.