Das Urteil des EuGH hatte an sich einen anderen Gegenstand zur Hauptsache. In Randziffer 51 wurde eher nebenbei festgestellt:

Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.

Eine Differenzierung in dynamische oder statische IP-Adressen wurde dabei im Urteil offensichtlich nicht vorgenommen. Auch werden andere in der Diskussion häufig vorgebrachte Gegenargumente nicht im Detail behandelt. Dennoch dürfte das Urteil eine gewisse Richtung weisen, wie diese Frage künftig gerichtlich zu entscheiden ist.

Vielen Dank an den Kollegen Rechtsanwalt Michael Seidlitz für den Hinweis auf das Urteil.

Update am 25. November 2011:

Auf die teilweise geäußerte Rückmeldung, dass der Personenbezug von IP-Adressen bei Zugangsprovidern unumstritten sei und die Meldung den Sachverhalt daher verkürze, möchte ich vertiefend auf die Argumente des Kollegen Jens Ferner für die Abkehr vom “relativen Personenbezug” verweisen, die nach meiner Lesart durch das Urteil gestärkt werden.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Im Fazit des Gutachtens heißt es hierbei:

“Das ULD zieht auf Grundlage seiner technischen und rechtlichen Analyse die Schlussfolgerung, dass das Betreiben von Facebook Fanpages sowie die Einbindung von Social-Plugins zwangsläufig zu Datenschutzverstößen führt und fordert die Webseitenbetreiber daher dazu auf, entsprechende Angebote zu entfernen. Tatsächlich bestehen an der datenschutzrechtlichen Zulässigkeit dieser Anwendungen erhebliche rechtliche Zweifel. Aufgrund der komplexen und unübersichtlichen Rechtslage sowie der Schwierigkeit einer zutreffenden Einordnung der technischen Abläufe ist eine abschließende datenschutzrechtliche Bewertung aus hiesiger Sicht jedoch nicht möglich.

Festzuhalten ist Folgendes: Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Im Hinblick auf die zur Verantwortlichkeit von Webseitenbetreibern gemachten Feststellungen erscheint jedenfalls die Begründung einer Auftragsdatenverarbeitung nach § 11 BDSG und einer daraus resultierenden Verantwortlichkeit der Webseitenbetreiber für die durch Facebook erstellten Statistiken nicht nachvollziehbar. Eine Verantwortlichkeit von Facebook Nutzern ist zudem entgegen der Bewertung des ULD wohl jedenfalls dann abzulehnen, wenn diese gleichzeitig Betroffene i. S. d. Datenschutzrechts sind und lediglich Daten zu ihrer eigenen Person verarbeiten.

Im Rahmen der Darstellungen zum anwendbaren Recht geht das ULD ohne Weiteres davon aus, dass all solche Daten, die nicht als Bestands- oder Nutzungsdaten i. S. d. TMG zu qualifizieren sind, als Inhaltsdaten dem Anwendungsbereich des BDSG unterliegen. Wie dargestellt, sind nach einer anderen Ansicht solche Daten jedoch zur Wahrung der Einheitlichkeit des Telemedienschutzes ebenfalls nach § 15 TMG zu behandeln. Den Ausführungen zur Zulässigkeit der Datenverarbeitung ist im Ergebnis wohl zuzustimmen. Im Hinblick auf die Informationspflichten von Webseitenbetreibern geht das ULD davon aus, dass insoweit der Anwendungsbereich des § 5 TMG eröffnet ist. Wie dargestellt, lässt sich im Einzelfall bei entsprechender Begründung jedoch auch eine abgeschwächte Impressumspflicht nach § 55 RStV begründen. Insgesamt hängt die Bewertung der durch das ULD gemachten Ausführungen zu Informationspflichten und Datensicherheit davon ab, inwieweit man die Verwender von SocialPlugins als verantwortliche Stellen betrachtet.

Die Frage möglicher Konsequenzen für Webseitenbetreiber lässt sich im Ergebnis nicht eindeutig beantworten. Nach hiesiger Auffassung dürfte das Landesinnenministerium für die Verhängung von Bußgeldern nach § 16 Abs. 2 Nr. 2 bis 5 TMG zuständig sein.

Im Übrigen geht das ULD in seiner Beurteilung überwiegend von vertretbaren Rechtsauffassungen aus, jedoch ist der durch das ULD erweckte Eindruck, die untersuchten Sachverhalte würden eindeutig gegen geltendes Datenschutzrecht verstoßen, unzutreffend. Vielmehr ist das geltende Datenschutzrecht von Unsicherheiten geprägt und macht die eindeutige Beantwortung rechtlicher Fragen in diesem Bereich schwer. Eine gerichtliche Beurteilung der untersuchten Sachverhalte steht bislang aus.

Die zur Frage der Personenbezogenheit einer IP-Adresse auch in der Rechtsprechung vertretenen verschiedenen Auffassungen machen zudem deutlich, dass selbst im Falle einer richterlichen Entscheidung nicht von einer endgültigen Klärung datenschutzrechtlichen Kontroversen ausgegangen werden kann. Es kann daher keine abschließende Empfehlung hinsichtlich einer Entfernung der durch das ULD als datenschutzrechtlich unzulässig bewerteten Angebote gegeben werden.”

• Vgl. vertiefend auch die Diskussion um eine (dementierte) Sonderlösung von Facebook für Schleswig-Holstein
• Webseitenbetreiber: lesen Sie auch unseren Beitrag “Facebook Like Button datenschutzkonform einsetzen“.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtstatsachen

Datenschutzrechtlich verantwortliche Stellen, sowohl in öffentlich als auch in privater Hand, leiden gleichsam an einem starken Kosten- und Effizienzdruck. Daher greifen sie, gerade wenn es um die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten geht, zu dem Mittel der Automatisierung. Sie legen fest, dass wenn die Voraussetzung A erfüllt ist, die Daten B übermittelt werden. Ein Beispiel: Das Mobilfunkunternehmen M sieht vor, dass alle Verträge, die wegen fehlender Zahlungseingänge gekündigt werden, automatisch als offene Forderung an eine Auskunftei gemeldet werden (vgl. AG Potsdam, Urt. v. 03.06.2005, Az. 22 C 30/05, zu finden bei S. Gärtner, Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts, Verlag Dr. Kovac, 2011, S. 161). Es darf daher von einer Blindmeldung gesprochen werden, denn die Daten werden „blind“ und somit ohne Ansehung des Einzelfalls übermittelt.

Rechtsprechung zu den Blindmeldungen

Nach BDSG sind Blindmeldungen jedenfalls dann rechtswidrig, wenn hierbei Daten automatisch übermittelt werden, ohne dass dies zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich wäre; mithin wenn die Übermittlung keinen Abwicklungszwecken dient. Dies hat dann zur Folge, dass die hierdurch ausgelöste Datenübermittlung insgesamt rechtswidrig ist. Etwa hat sich das OLG Düsseldorf (vgl. MDR 2007, 836-837) einer Entscheidung des Amtsgerichts Potsdam (AG Potsdam, Urt. v. 3.6.2005, Az. 22 C 30/05) angeschlossen, in der es heißt: „Nach Auffassung des Gerichts führt bereits allein die fehlende Abwägung dazu, dass der Anspruch der Klägerin [Anm.: auf Widerruf der übermittelten Daten] begründet ist.“

Dogmatischer Hintergrund („Ermessensausfall“)

Hintergrund ist, dass eine Datenübermittlung, die nicht Abwicklungszwecken dient, in der Regel nur unter den Voraussetzungen des § 28 Abs. 1 S. 1 Nr. 2 BDSG gerechtfertigt ist, was erfordert, dass eine am Verhältnismäßigkeitsgrundsatz orientierte Abwägung ergibt, dass die Offenbarungsinteressen der verantwortlichen Stelle oder Dritter die Geheimhaltungsinteressen des Betroffenen überwiegen. Unterlässt die verantwortliche Stelle diese Abwägung und will sich dann auf § 28 Abs. 1 S. 1 Nr. 2 BDSG berufen, ist dies nicht möglich, mit der Folge der Rechtswidrigkeit nach § 4 Abs. 1 BDSG. Treffenderweise spricht das AG Potsdam in seiner Entscheidung von einem „Ermessensausfall“.

Dolo agit – Einrede (vgl. hier zum Begriff)?

Gelegentlich wird vorgebtracht, dass Blindmeldungen zwar zur Rechtswidrigkeit der hierauf fußenden Datenübermittlung führten. Ergäbe aber eine nachträgliche Abwägung die Verhältnismäßigkeit der Übermittlung (i.S.v. § 28 Abs. 1 S. 1 Nr. 2 BDSG), so dürfe nicht deren Rückgängigmachung verlangt werden, da sie ohnehin gleich danach wieder erfolgen dürfe. Diesem Ansatz sind das AG Potsdam und auch das OLG Düsseldorf entgegengetreten, indem sie ausführten, dass „allein“ das Unterlassen der Abwägung (Blindmeldung) zur Rechtswidrigkeit führe und somit eine ex post – Abwägung ausscheide.

Überdies führte ein solcher Rechtssatz zur Bedeutungslosigkeit der Blindmeldungs-Rechtsprechung. Denn ergäbe die nachträgliche Abwägung die Unverhältnismäßigkeit der Übermittlung, brauchte es den Blindmeldungseinwand auch nicht mehr. Führte die Abwägung zur Verhältnismäßigkeit, wäre der Blindmeldungseinwand stets unbeachtlich. Letztlich verkennt dieser Ansatz zudem, dass die dolo-agit-Einrede aus den Grundsätzen von Treu und Glauben gewonnen wird. Eine verantwortliche Stelle, die allein aus Gründen des Kostendrucks eine zwingende Abwägung unterlässt, darf sich selbst nicht auf § 242 BGB berufen.

Beweisbarkeit

Ein weiteres Problem der Praxis lautet: Selbst wenn eine Übermittlung blind erfolgt ist, kann der Betroffene dies in der Auseinandersetzung mit der verantwortlichen Stelle selten darlegen und beweisen. Denn die Abwägungsvorgänge sind für ihn völlig intransparent. Basierend auf der BGH-Rechtsprechung zu unüberwindbaren Beweisschwierigkeiten (BGH NJW 1969, 269) plädiert das Schrifttum für eine Beweislastumkehr.

Fazit

Blindmeldungen stellen sich als wirtschaftlich relevantes Problem dar. Unternehmen fühlen sich häufig aus Kosten- und Effizienzdruck zur Automatisierung von Datenübermittlungen gezwungen (z. B. Auskunfteien beim Negativeintrag). Zwar verneint die Rechtsprechung in der Regel die Vereinbarkeit derartiger Automatisierungsvorgänge mit dem Datenschutzrecht (Blindmeldungsrechtsprechung). Gleichwohl bleiben in der Praxis viele Rechtsfragen (dolo agit, Beweisbarkeit) offen, die es noch zu lösen gilt.

Autor:

Rechtsanwalt Dr. Stephan Gärtner

Kontakt:

Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920

E-Mail-Kontaktformular

E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Türkiye´nin Kişisel Verileri Korunması Alanındaki Bugüne Kadarki Durumu

Kişisel verilerin korunması alanında ilk başvurulabilecek kaynak Türk Anayasasıdır. Anayasa’nın dördüncü kısmının ikinci bölümünde “Özel Hayatın Gizliliği ve Korunması” başlığı altında yer alan 20. maddesine göre, “herkes özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir”. Kişinin bu haklarını kullanabilmesi amacıyla Anayasanın 20/II fıkrası gereği, “kimsenin üstü, özel kâğıtları ve eşyası aranamayacağı gibi, bunlara el konulması da mümkün değildir”.

Anayasa Değişikliği Ile 20. Maddeye Eklenen Hüküm

Bu dolaylı kişisel veri korunması dışında Anayasa değişikliği ile Anayasanın 20. maddesine eklenen hükme göre,

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.

Kişisel Verilerin Türk Medeni Kanunu ve Türk Ceza Kanunu Uyarınca Korunması

Anayasanın hükümleri dışında Türk Medeni Kanununun bir kaç maddelerinde yer alan hükümler doğrultusunda “Kişilik Hakkının Korunması” başlığı altında da kişisel veriler korunabilir. Bunun yanı sıra Türk Ceza Kanunu uyarınca kişisel verileri hukuka aykırı işleyen kişilerin cezai sorumluluğu da söz konusudur.

Telekomünikasyon Alanında Elektronik Haberleşme Kanunu

Bu gelişmelerin yanı sıra, Telekomünikasyon alanında Elektronik Haberleşme Kanunu kabul edilmiştir. Bu kanundan evvel Bilgi Teknolojileri ve İletişim  Kurumu tarafından, “Telekomünikasyon Sektöründe Kişisel Bilgilerin Korunması Hakkında Yönetmelik” yayınlanmıştır. Yönetmelik, Telekomünikasyon alanında Avrupa Birliği tarafından çıkarılan direktifler göz önüne alınarak hazırlanmıştır.

Kişisel Verilerin Korunması Kanun Tasarısı

Kişisel verilerin korunması ile ilgili bir kanun tasarısı Bakanlar Kurulunca Nisan 2008 tarihinde kabul edilerek TBMM Başkanlığına gönderilmiştir. Ekim 2008 tarihinden itibaren mecliste kanunlaşma sırasını beklemektedir. Tasarıya genel olarak bakıldığında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin Avrupa Konseyi Konvansyonu ve Avrupa Birliği Veri Koruma Direktifi temel alınmıştır.

Kanun Tasarısının Amacı

Kişisel Verilerin Korunması Kanun Tasarısı (31.12.2008 tarihli ve 5.Mükerrer 27097 sayılı Resmi Gazete) öz olarak kişisel verilerin işlenmesinde kişinin özel hayatını korumayı amaçlamaktadır (KVKKT. m. 1). Düzenlemeler Türk Anayasasının 17. maddesinde ifade edilen kişinin dokunulmazlığı dogrultusu gereğince uyarlanmıştır. Tasarı genel olarak 95/EG/46 Avrupa Birliği Veri Koruma Direktifine uyum sağlamaktadır.

KVKKT 41 madde içermektedir ve ana ilkesi kişisel veriler hakkında özgürce karar verebilme ilkesidir. 6. madde uyarinca kişisel veriler ancak ilgili kişinin açık rızasıyla işlenebilir. Kişisel verilerin üçüncü kişilere aktarılması da ancak kısıtlı hukuki koşullar doğrultusunda gercekleşebilir.

Kişisel Verileri Koruma Kurulu

Tasarının 26. maddesinde bu kanunla verilen görevleri yapmak üzere Kişisel Verileri Koruma Kurulunun kurulacağına yer verilmiştir. Kurulun görev ve yetkilerine tasarının 31. maddesinde yer verilmiştir. Söz konusu kurul Almanya´da Federal Verileri Koruma Görevlisi örnek alinarak yapılmıştır.

Kurul, Bakanlar Kurulunca seçilen yedi üyeden oluşur. Kurul üyelerinin görev süresi altı yıldır. Üyelerin kişisel verileri koruma hususunda özel bilgiye sahip olmalari şart değildir. Tasarının 27. maddesi uyarınca üyelerin yükseköğrenim görmüş ve öğretim kurumlarında en az on yıl öğretim üyeliği yapmış veya özel veya kamu hizmetinde en az on yıl fiilen çalışmış olmaları şarttır.

Kurulun Bağımsızlığı

Kurul, yetkilerini bağımsız olarak kullanacaktır. Hiçbir organ, makam, merci ve kişi Kurulun kararını etkilemek amacıyla emir ve talimat veremez. Tasarının bu madde gerekçesinde kurul, diğer Avrupa Birliğine üye ülkelerdeki bağımsız kuruluşlar örnek alınarak yapıldığına yer verilmiştir.

Yurtdışına Bilgi Aktarımı

Kişisel veriler, ancak şu durumlarda yurtdışına aktarılabilir,

1. İlgili kişinin açık rızasının bulunması.
2. İlgili kişi ile veri kütüğü sahibi arasında bir sözleşmenin yapılması, sözleşme öncesi ilişkinin yürütülmesi veya sözleşmenin ifası için aktarımın gerekli olması.
3. Temel kamu yararının bulunması.
4. Bir hakkın tespiti, icrası veya korunması için yabancı ülkeye aktarımın gerekli veya kanun gereği zorunlu olması.
5. Veri konusu kişinin hayatı veya beden bütünlüğünün idamesi için aktarımın zorunlu olması.
6. Veri aktarımının, ilgili mevzuatın aradığı şartları yerine getirmek koşuluyla kamunun veya (ilgisini ispat eden) herkesin erişimine açık bulunan sicillerden yapılması hallerinde kişisel veriler yurtdışına aktarılabilir.

Almanya Ile Türkiye Arası Bilgi Aktarımı

Türkiye ile Almanya arası olası bilgi aktarımı ceza davaları çerçevesinde büyük önem taşımaktadır.

Ceza Davalarına Ilişkin Almanya Ile Türkiye Arası Bilgi Aktarımı

Almanya adalet bakanlığının 08.08.1997 tarihli Gießen idare mahkemesine verdiği bilgiye göre zaten ceza davalarına ilişkin Türkiye ile Almanya arası düzenli olarak bilgi aktarımı uygulanmaktadır.

Bu her iki ülkenin arasında kendi vatandaşlarına ilişkin cezai yargılamalarında ve bunun devamındaki federal adli sicilinde bulunan sabıka siciline işlenen bilgileri aktarmakta oldukları demektir.

Cezai Bilgilerin Içeriği

Verilen bilgiye göre cezai bilgilerin içeriği kişisel verilerin yanı sıra ilgili kişinin yargılama gününü ve işlediği suçun gününün tarihini kapsamaktadır. Ayrıca hüküm veren mahkemenin ismini ve davanın dosya işaretini, yargılandığı suçun kendisini ve işlediği suçtan dolayı ceza kanunu ve diğer ek kanunlar uyarınca hüküm gördüğü maddeleri içermektedir. Ayrıca da işlediği suçun niteliğini, verildiği cezanın yüksekliğini ve olası feri sonuçları ve feri suçları kapsamaktadır.

Cezai Bilgilerin Aktarımı Ancak Idari Anlaşmadır

Anlaşma ne federal adalet bakanlığı tarafından ne de federal adli sicilin yönetimi ile yetkili federal başsavcı tarafından yayımlanmıştır. Bundan dolayı cezai bilgilerin aktarımına ilişkin anlaşma en fazla Türkiye Cumhuriyeti ve Almanya Federal Cumhuriyeti arasında olan bir idari anlaşma olarak kabul edilebilir. 21.9.1984 tarihli Eğitim Sicili ve Merkez Sicili Kanunu cezai bilgi aktarımına ilişkin kanuni düzenleme içermemektedir.

Bilgi Verilmesine Ilişkin Kanuni Dayanak

Federal Adli Sicil Kanununun 57. maddesinde ilgili makamlara yürürlükteki kanun ve anlaşmalar uyarınca sicilden bilgi verilebileceği düzenlenmişitr.

Buna benzer bir düzenleme uluslararası ceza hukukuna ilişkin hukuki yardım kanununda bulunmaktadır. Adli Sicil Kanununun 57. maddesinde bu bilgi verme bir anlaşma olarak geçmesinden dolayı bir idari veyahut bir hükümet sözleşmesi olamaz. Milli hukuka yasalarca geçen anlaşmalar devletler hukuku antlaşmaları olarak anlaşılabilir. Federal Adli Sicil Kanununda geçen anlaşmalar şekli ve maddi yasalardan başka birşey değildir. Federal adli sicilinden bilgi aktarılmasının kanuni dayanağı Türkiye´de bulunmamaktadır.

Avrupa Ceza Hukukuna Ilişkin Hukuki Yardım Uzlaşması

Türkiye´ye 22.09.1969 tarihinde yürürlüğe giren 20.04.1959 tarihli Avrupa Ceza Hukukuna ilişkin Hukuki Yardım Uzlaşmasının 22. maddesince anlaşmaya tabi olan her ülke diğer ülkeyi kendi vatandaşlarına ilişkin cezai yargılamalarını ve bunun devamındaki sabıka siciline işlenen tedbirleri bildirme ile yükümlüdür. Adalet bakanlıkları birbirlerine bu bilgileri senede en az bir kere aktarmak zorundadırlar.

Hukuki Dayanağın Eksikliği

Milli bir kanuni dayanağın olmaması Türkiye ile olan düzenli bilgi aktarımını ilgili kişiye karşı kanundışı ve anayasaya aykırı kılar ve Alman makamlarının buna ilşikin faaliyetleri de ilgilinin kendi ülkesine iade edilmesini önler ve bu yüzden oldukça büyük bir geri kaçış nedeni oluşturabilir. Federal adli sicilinden bilgi aktarımı federal başsavcı tarafından mı veya adalet bakanlığı tarafından mı Türkiye´ye aktarılması cevapsız bırakılabilir.

Cezai Bilgi Aktarılması, Bir Devletler Hukuku Yükümlülüğü

Ilgili Türk vatandaşını Türkiye´ye iadesinde bu bilgi aktarımından dolayı oluşabilecek dezavantajlardan korunması ne açık ne de Federal hükümet veya adalet bakanlığı tarafından sunulmuştur. Ayrıca devletler hukuku antlaşmalarında gerekli olan bir kişisel verileri koruma koşulu bulunmamaktadır. Bundan hariç adalet bakanlığı ve federal başsavcı tarafından onaylandığı üzere bilgi aktarımı var olmaktadır ve bir ilgili kişi tarafından hakkın korunması talep edildiğinde göz önünde bulundurulmalıdır.

Avrupa Birliği Sınır Güvenliği Makamlarının Haberalma Ağı

AB Avrupa Birliği üyesi ülkelerinin ortak çalışmalarını sıkılaştırmaya ve sınır güvenliği ve kişilerin güvenliğini geliştirmeye yönelik çeşitli önlemler almıştır.

Güvenlik kurumlarının haber alma ağına ulaşabilmerine ve burdan bilgi alabilmelerine yönelik en önemli üç sistem şunlardır,

Schengen Bilgi Sistemi (SIS), Avrupa Vize Sistemi ve Avrupada sığınma arayan ve yasadışı göç eden kişilerin parmak izlerini karşılaştırmaya yarayan Avrupa Otomatik Parmak Izi Tanımlama Sistemi (EURODAC).

Bunun dışında da veri kütükleri arasındaki bilgi aktarımlarının geliştirilmesi amaçlanmaktadır.

Hukuki Dayanak

Bu bilgi sistemlerinin yönetimi çeşitli hukuki kaynaklara dayanmaktadır,

Schengen Bilgi Sistemi (SIS) Avrupa Birliği üyesi ülkelerinin resmi dairelerinin aralarında haber almalarına imkan sağlar ve Schengen Uygulama Sözleşmesi uyarınca zabıta tarıfandan uygulanan kişiler ya da kişisel eşyalar üzerine olan araştırmalarda bilgilerin toplanması, yönetilmesi ve paylaşılmasını sağlar.

Türkiye´nin Olası Ortaklığı

Özellikle Avrupa Birliğine komşu olan ve Türkiye gibi Schengen Antlaşması’na taraf olan ülkeler bu ortak çalışmaya dahil olmaya yatkın ülkelerdir.

Sonuç

Türkiye’de henüz kişisel verileri korumayı amaçlayan kanuni bir düzenleme bulunmamaktadır. Ancak Türkiye, uluslararası alanda kişisel verileri korumayı amaçlayan anlaşmaları imzalamış ve Kişisel Verileri Koruma Kanun Tasarısı ile kendi Kişisel Verileri Koruma Kanununa doğru ilk adımını atmıştır.

Cezai bilgi aktarımına ilişkin Almanya ile Türkiye arası federal adli sicilinden bilgi aktarımını yetkileyen bir kanuni düzenleme bulunmamaktadır. Ne federal adli sicili ne de 13.12.1959 tarihli Avrupa Birliği Sınır Dışı Edilmesi Uzlaşması ya da 3.11.1966 tarihli ceza hukukuna ilişkin hukuki yardım kanununun 20.04.1959 tarihli Avrupa Uzlaşması, yabancı ülkeye federal adli sicilinden düzenli olarak bilgi aktarımını yetkileyen bir düzenleme içermemektedir.

Almanya Federal Cumhuriyeti devletler hukuku uyarınca bilgi aktarımına tabi tutulmuştur fakat, bu yükümlülüğü kendi milli yasalarınca kanunlaştırmamıştır.

Avrupa Birligi üyesi ülkelerinin ortak çalışmalarını sıkılaştırmak ve kişi güvenliğini arttırmak amacıyla Türkiye Avrupa bölgesine yakınlığından dolayı kişisel verilerin aktarımı açışından ortak çalışmalara uygun bir ortaktır.

Autor:
Aysegül Özkan, Augsburg

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Bisherige Gesetzeslage im Bereich des Datenschutzrechts in der Türkei

In erster Linie schützt die türkische Verfassung persönliche Daten in seinem vierten Abschnitt des zweiten Teils unter der Überschrift „Geheimhaltung und Schutz des persönlichen Lebens“. In Artikel 20 beispielsweise ist verankert, dass jeder das Recht auf Rücksicht seines persönlichen, aber auch des Lebens seiner Familie hat. Im Absatz 2 des Artikels ist außerdem niedergeschrieben, dass die Vornahme von Leibesvisitationen, die Untersuchung oder Beschlagnahme von Dokumenten oder privaten Sachen ohne entsprechenden richterlichen Beschluss nicht durchgeführt werden dürfen.

Erweiterung des Artikels 20 im Zuge der Verfassungsänderung

Neben diesem mittelbaren Schutz personenbezogener Daten durch die Verfassung wurde der Artikel 20 im Zuge der jüngsten Verfassungsänderung um die folgende Textstelle erweitert:

„Jedermann hat ein Recht auf den Schutz seiner personenbezogenen Daten. Dieses Recht umfasst, dass jeder über die eigenen persönlichen Daten informiert wird, die Möglichkeit eines Zugriffs auf diese Daten besteht, Korrektur oder Löschung dieser Daten verlangt werden kann und man sich über den zweckmäßigen Gebrauch dieser Daten informieren kann. Die Verarbeitung der personenbezogenen Daten jedoch, wenn dies gesetzlich vorgesehen ist oder die Person deutlich darin eingewilligt hat, ist erlaubt.“

Schutz persönlicher Daten durch das tZGB und das tStGB

Außer durch verfassungsrechtliche Bestimmungen werden personenbezogene Daten außerdem in einigen Paragrafen des türkischen Zivilgesetzbuches unter dem Abschnitt „Schutz der persönlichen Rechte“ geschützt. Auch werden Verstöße gegen den Datenschutz durch das türkische Strafgesetzbuch sanktioniert.

Neues Gesetz auf dem Gebiet des Fernmeldewesens

Darüber hinaus wurde das Elektronische Kommunikationsgesetz auf dem Gebiet des Fernmeldewesens verabschiedet. Im Vorfeld dieses Gesetzes wurde eine „Bestimmung über den Schutz personenbezogener Daten im Bereich der Telekommunikation“ durch das Informationstechnologie- und Kommunikationsinstitut veröffentlicht. Die Bestimmung wurde im Hinblick auf die Regelungsakte der EU auf dem Gebiet der Telekommunikation vorbereitet.

Der Gesetzesentwurf zum Datenschutz

Im April 2008 wurde ein Gesetz mit dem deklarierten Ziel des Datenschutzes durch das Kabinett (Ministerrat) entworfen und an das Präsidium der Nationalversammlung weitergeleitet. Bereits seit Oktober 2008 wartet der Entwurf nun auf seine Kodifizierung.

Im Wesentlichen basiert der Gesetzesentwurf auf der Konvention des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und auf den Richtlinien der EU zum Datenschutz.

Ziel des Gesetzesentwurfs

Im Einzelnen bezweckt der „Gesetzesentwurf zum Schutz der persönlichen Daten – TDSG-E” (Az. 1/576, Abl. 27097 v. 31.12.2008) den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten (Art. 1 TDSG-E). Die Regelungen stützen sich auf die durch Art. 17 der türkischen Verfassung gewährleistete Unantastbarkeit der Person. Dabei entspricht der Gesetzesentwurf im Wesentlichen der EU-Datenschutzrichtlinie 95/46/EG.

Herzstück des 41 Artikel umfassenden TDSG-E ist die datenmäßige Selbstbestimmung. Gemäß Artikel 6 bedarf die Verarbeitung persönlicher Daten grundsätzlich der Einwilligung des Betroffenen. Auch die Weitergabe an Dritte soll an enge gesetzliche Voraussetzungen geknüpft sein.

Der Datenschutzrat

Artikel 26 des Entwurfs sieht vor, dass ein Ausschuss zum Schutz personenbezogener Daten gegründet wird, welcher die ihm durch den Gesetzesentwurf zugewiesenen Aufgaben durchführt, die in Artikel 31 festgelegt werden. Er soll an das deutsche Modell des Bundesdatenschutzbeauftragen angelehnt sein.

Er setzt sich aus sieben Mitgliedern zusammen, die vom Ministerrat für eine Amtszeit von sechs Jahren gewählt werden. Eine besondere datenschutzrelevante Vorbildung ist für die Wählbarkeit nicht erforderlich. Art. 27 TDSG-E setzt lediglich einen Hochschulabschluss sowie 10-jähre Berufserfahrung in Wissenschaft oder Praxis voraus.

Unabhängigkeit des Gremiums

Die Ausübung der Kompetenzen durch den Ausschuss erfolgt dabei unabhängig. Kein Gremium, kein Amt, keine Behörde oder Person dürfen dem Ausschuss Anweisungen erteilen, um seine Entscheidungen zu beeinflussen. Ausgehend von der Gesetzesbegründung soll der Ausschuss durch diese Form der Weisungsfreiheit den unabhängigen datenschutzrechtlichen Institutionen der Mitgliedsländer der EU nachempfunden sein.

Datenübermittlung in das Ausland

Personenbezogene Daten dürfen nur in folgenden Fällen in das Ausland transferiert werden:

1. Die betroffene Person hat ihre Einwilligung erteilt.
2. Es wurde zwischen dem Betroffenen und dem Inhaber des übermittelnden Datenregisters ein Vertrag geschlossen und der Datentransfer ist notwendig, um die vorvertraglichen Beziehungen fortzuführen oder den Vertrag zu erfüllen.
3. Es liegt ein besonderes öffentliches Interesse vor.
4. Eine Datenübermittlung in einen Drittstaat ist erforderlich beziehungsweise gesetzlich vorgeschrieben, um ein Recht festzustellen, auszuüben oder zu schützen.
5. Der Datentransfer ist zum Schutze des Lebens und der körperlichen Integrität des Betroffenen unerlässlich.
6. Der Datentransfer erfolgt aus einem Register heraus, das für die Öffentlichkeit und für jedermann einsehbar ist, soweit die vom betreffenden Gesetz verlangten Voraussetzungen erfüllt sind.

Datenaustausch zwischen Deutschland und der Türkei

Interessant wird ein möglicher Datenaustausch zwischen der Türkei und Deutschland besonders im Rahmen von Strafverfahren.

Strafnachrichtenaustausch zwischen Deutschland und der Türkei

Aufgrund der Auskunft des Bundesministeriums der Justiz vom 08.08.1997 an das VG Gießen findet zwischen der Türkei und der Bundesrepublik Deutschland bereits ein regelmäßiger Strafnachrichtenaustausch statt.

Dies bedeutet, jeder Staat unterrichtet den anderen von allen dessen Staatsangehörige betreffenden strafrechtlichen (rechtskräftigen) Verurteilungen und nachfolgenden Maßnahmen, die in das Strafregister – beim Bundeszentralregister – eingetragen worden sind.

Inhalt der Strafnachricht

Inhalt der Strafnachricht sind nach dieser Auskunft neben den persönlichen Daten der Betroffenen das Datum der Verurteilung und der Straftat, die Bezeichnung des erkennenden Gerichts, das Aktenzeichen des Verfahrens, die zur Verurteilung gelangte Straftat nebst der entsprechenden Vorschrift des Strafgesetzbuches und sonstiger strafrechtlicher Nebengesetze sowie Art und Höhe der verhängten Strafe und eventuellen Nebenfolgen oder Nebenstrafen.

Austausch von Strafnachrichten allenfalls Verwaltungsvereinbarung

Die Vereinbarung selbst wurde weder vom Bundesministerium der Justiz noch vom Generalbundesanwalt – welcher für die Registerführung beim Bundeszentralregister zuständig ist – vorgelegt. Es ist insoweit davon auszugehen, dass es sich bei der Vereinbarung über den Austausch von Strafnachrichten allenfalls um eine Verwaltungsvereinbarung zwischen dem türkischen Staat und der Bundesrepublik Deutschland handelt. Eine entsprechende gesetzliche Regelung zum Strafnachrichtenaustausch enthält das Gesetz über das Zentralregister und das Erziehungsregister vom 21.9.1984 nicht.

Gesetzliche Grundlage über Erteilung von Auskunft

In § 57 BZRG ist lediglich geregelt, dass an Stellen eines anderen Staates nach den hierfür geltenden Gesetzen und Vereinbarungen Auskunft aus dem Register erteilt werden könne. Eine ähnliche Regelung enthält das Gesetz über die internationale Rechtshilfe in Strafsachen. Soweit in § 57 BZRG von Vereinbarung die Rede ist, kann es sich dabei nicht um reine Verwaltungsvereinbarungen oder Regierungsvereinbarungen handeln. Unter Vereinbarung sind insoweit völkerrechtliche Vereinbarungen zu verstehen, welche durch förmliches Gesetz in nationales Recht transformiert worden sind. Damit handelt es sich bei den Vereinbarungen nach § 57 BZRG um nichts anderes als um Gesetze im formellen und materiellen Sinne. Eine solche gesetzliche Grundlage für einen Nachrichtenaustausch aus dem Bundeszentralregister zum türkischen Staat liegt jedoch nicht vor.

Europäisches Übereinkommen über die Rechtshilfe in Strafsachen

Zwar regelt Artikel 22 des Europäischen Übereinkommens über die Rechtshilfe in Strafsachen vom 20.04.1959 – für die Türkei in Kraft getreten am 22.09. 1969 -, dass jeder Vertragsstaat den anderen von allen, dessen Staatsangehörige betreffenden strafrechtlichen Verurteilungen und nachfolgenden Maßnahmen, die in das Strafregister eingetragen worden sind, benachrichtigt. Hiernach haben die Justizministerien einander diese Nachrichten mindestens einmal jährlich zu übermitteln.

Fehlen einer Rechtsgrundlage

Fehlt es damit an einer innerstaatlichen Rechtsgrundlage, so erweist sich der turnusmäßige Strafnachrichtenaustausch mit der Türkei als rechtswidrig und grundrechtsverletzend in Bezug auf den Betroffenen und bildet durch aktives Zutun deutscher Stellen – wobei offen bleiben kann, ob die Strafnachrichten vom Bundeszentralregister, dem Generalbundesanwalt oder dem Bundesjustizministerium an die Türkei geliefert werden – einen beachtlichen Nachfluchtgrund, der eine Abschiebung des Betroffenen in sein Herkunftsland vereitelt.

Strafnachrichtenaustausch: eine völkerrechtliche Verpflichtung

Völkerrechtliche Vereinbarungen, welche dem betroffenen türkischen Staatsbürger bei einer Rückkehr in die Türkei einen entsprechenden Schutz vor Nachteilen durch diesen Nachrichtenaustausch gewährleisten, sind weder ersichtlich noch von der Bundesregierung – dem Bundesministerium der Justiz – vorgetragen worden und fehlt es weiter in den völkerrechtlichen Verträgen an der notwendigen Datenschutzklausel. Unabhängig davon findet jedoch, wie vom Bundesministerium der Justiz und vom Generalbundesanwalt bestätigt, ein derartiger Nachrichtenaustausch statt und ist bei der Beurteilung des Rechtsschutzbegehrens zu beachten.

Informationsvernetzung der europäischen Grenzschutzbehörden

Im Hinblick auf die Intensivierung der Zusammenarbeit der Mitgliedstaaten und der Entwicklung eines integralen Grenzschutzes bei der Personenkontrolle hat die EU eine Fülle von Maßnahmen entwickelt.

Bezüglich der Informationsvernetzung sind in erster Linie drei Systeme zu nennen, auf die die Sicherheitsbehörden Zugriff erhalten: das Schengener Informationssystem (SIS), das europäische Visa-Informationssystem (VIS) und die europaweite biometrische Datenbank für den Vergleich von Fingerabdrücken von Asylbewerbern und illegalen Migranten (EURODAC). Ferner soll der Informationsaustausch zwischen nationalen Datenbanken verbessert werden.

Rechtsgrundlage

Die Administration dieser Informationssysteme beruht auf unterschiedlichen Rechtsgrundlagen:

Das Schengener Informationssystem (SIS) ermöglicht den Behörden der Mitgliedstaaten den Zugriff auf eine dialoggesteuerte Datenbankanwendung zur Bereitstellung und Verwaltung von Datensätzen zur polizeilichen Fahndung nach Personen und Sachen gemäß dem Schengener Durchführungsübereinkommen (SDÜ).

Türkei als möglicher Partner

Insbesondere die an die EU angrenzenden Staaten und die Türkei, die ohnehin bereits dem Schengen-Raum angenähert ist, sind naheliegende Partner für eine erweiterte Zusammenarbeit.

Fazit

In der Türkei gibt es bisher noch keine gesetzliche Regelung, welche den Schutz persönlicher Daten zum Gegenstand hat. Jedoch hat die Türkei auf der internationalen Ebene die Verträge zum Datenschutz unterzeichnet und durch den Gesetzentwurf zum Schutz personenbezogener Daten einen ersten Schritt in Richtung eines eigenen Datenschutzgesetzes getan.

Hinsichtlich eines Strafnachrichtenaustauschs zwischen Deutschland und der Türkei fehlt eine entsprechende gesetzliche Regelung zur Ermächtigung der Übermittlung aus dem Bundeszentralregister. Weder das Bundeszentralregistergesetz noch das Gesetz zu dem Europäischen Auslieferungsübereinkommen vom 13.12.1959 und dem Europäischen Übereinkommen vom 20.4.1959 über die Rechtshilfe in Strafsachen vom 3.11.1964 enthalten Ermächtigungen, Auszüge aus dem Bundeszentralregister an einen ausländischen Staat als Regelübermittlung zukommen zu lassen.

Insoweit hat die Bundesrepublik Deutschland sich zwar völkerrechtlich zu einem Strafnachrichtenaustausch verpflichtet, diese Verpflichtung nationalstaatsrechtlich jedoch nicht umgesetzt.

Im Bezug auf die Intensivierung der Zusammenarbeit der Mitgliedstaaten im Bereich des Grenzschutzes und der Personenkontrolle ist die Türkei durch die Nähe an den europäischen Raum ein naheliegender Partner für eine engere Zusammenarbeit hinsichtlich des Datenaustauschs.

Autor:
Aysegül Özkan, Augsburg

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Hintergrund

Die Datenschutz-Aufsichtsbehörde in Schleswig-Holstein hat am 19. August 2011 per Pressemitteilung veröffentlicht, dass nach ihrer Ansicht die Einbindung des Facebook Like Buttons datenschutzwidrig sei. In einer Passage des in diesem Zusammenhang durch die Aufsichtsbehörde erstellten Gutachtens wurde zudem ausgeführt, dass wohl auch eine Einwilligung keine ausreichende Grundlage bilden könne (S. 20 ff.).

Wer ist betroffen?

Die Entscheidung der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein hat zunächst Bedeutung für in Schleswig-Holstein ansässige Unternehmen und Webseitenbetreiber. Die Behörde gab an (vgl. das entsprechende Youtube-Interview), mit der Maßnahme nicht „den kleinen Webseitenbetreiber“ sondern Facebook im Visier zu haben. Die Entscheidung hat keine direkte Auswirkung auf Unternehmen in anderen Bundesländern. Allerdings hat sich mittlerweile auch die niedersächsische Aufsichtsbehörde der Rechtsauffassung der Kieler Kollegen angeschlossen, vgl. “Information für Webseitenbetreiber mit Sitz in Niedersachsen” und “Friesland schaltet Facebook-Seite ab“.

Reaktion

Sowohl die datenschutzrechtliche Einschätzung als auch die Art und Weise des Vorgehens stehen in Frage (vgl. zum Beispiel unseren Artikel (“Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen“) oder auch die Beiträge der Kollegen Schmidt (“Verstößt die Verwendung des „Gefällt mir“-Buttons wirklich gegen deutsches Datenschutzrecht?“), Stadler (“Wie geht es weiter mit dem Datenschutz?“) und Härting (“Öffentlichkeitsarbeit einer Landesbehörde: Warum die „Facebook-Kampagne“ des ULD verfassungswidrig ist“) sowie die Pressemitteilung der Landesregierung Schleswig-Holstein (“Facebook und Datenschutz: Chef der Staatskanzlei Dr. Wulff spricht mit Landesbeauftragtem für Datenschutz – Bürgerbeteiligung weiter stärken“)).

Lösungsvorschlag

In Folge der Diskussion wurde das von Herrn Jens Ferner (schon seit einiger Zeit im Einsatz befindliche) Zusatz-Plugin von der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein für im Grundsatz zulässig erachtet: dieses Tool „aktiviert“ den Facebook Like-Button erst nach dem Klick auf eine entsprechende Einwilligung (weitere Details zu diesem Tool finden sich hier).

Was sollten Webseitenbetreiber beachten?

1. Die datenschutzrechtliche Zulässigkeit ist nach wie vor umstritten. Es gibt gute Argumente für beide Seiten. Höherinstanzliche Gerichtsurteile zu den in Frage stehenden Aspekten existieren bislang nicht. Beobachten Sie daher die weitere rechtliche Entwicklung (bspws. über unseren Newsletter).
2. Neben der Möglichkeit einer Auseinandersetzung mit der Datenschutz-Aufsichtsbehörde sollten Sie auch die wettbewerbsrechtliche Seite (sprich das (ebenfalls umstrittene) Abmahnrisiko) in Ihre Entscheidung über den Einsatz des Facebook Like Buttons mit einfließen lassen.
3. Gerade Webseiten-Betreiber in Schleswig-Holstein und Niedersachsen sollten eine Anpassung des Facebook-Like Buttons in Erwägung ziehen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Einleitung

Kunden der Netzwirtschaft, also z.B. der Strom- und Gasversorger oder auch der Telekommunikations- und Kabelanbieter, werden laufend über neue Tarife oder spezielle Angebote von ihren Versorgern bzw. Anbietern informiert.

Hierbei werden personenbezogene Daten (Name, Adresse, Status als Kunde) verarbeitet. Hat der Kunde nicht schon im Rahmen des Vertragsabschlusses ausdrücklich hierzu eingewilligt, bleibt den Unternehmen insbesondere die „geschäftsmäßige“ Datenverarbeitung nach § 28 BDSG als datenschutzrechtliche Rechtfertigung. Die Frage der Zulässigkeit der Datenverarbeitung spitzt sich zu, wenn ein Unternehmen seine ehemaligen Kunden ausdrücklich als aktuelle Kunden der Konkurrenz anschreibt und dabei Daten verwendet, die während des nicht mehr bestehenden Vertragsverhältnisses gespeichert wurden.

Das OLG Köln hatte jeweils 2009 im einstweiligen Verfügungsverfahren und 2010 im Hauptverfahren einen solchen Sachverhalt zu entscheiden. Die Urteile sind dabei in mehrfacher Hinsicht interessant. Zunächst einmal wurde, soweit ersichtlich, das erste Mal über die Einbeziehung einer datenschutzrechtlichen Zulässigkeitsproblematik in der Frage der Lauterkeit von Marktverhalten nach dem UWG entschieden. Das Gericht musste sich zudem mit der Auslegung und Systematik des komplexen § 28 BDSG vor und nach der Novellierung von 2009 auseinander setzen.

Der Sachverhalt

Bei den Parteien handelt es sich um konkurrierende Stromversorger. Gegenstand der Auseinandersetzung war ein sog. Kundenrückgewinnungsschreiben der Beklagten an ehemalige Kunden, die zur Konkurrenz gewechselt waren, und nun gezielt zum Zwecke der Kundenrückgewinnung angeschrieben wurden. Die Adressaten wurden ca. 14 Monate nach ihrem Anbieterwechsel ausdrücklich als aktuelle Kunden der Klägerinnen und als ehemalige Kunden der Beklagten angeschrieben.

Diese Schreiben lauteten auszugsweise wie folgt:

„Sehr geehrte Frau F, vor einiger Zeit sind Sie als unser Kunde [des Unternehmens XY] zum Stromanbieter X gewechselt. Diese Entscheidung haben wir sehr bedauert. Da sich in den vergangenen Wochen jedoch viele unserer ehemaligen Kunden mit Fragen zum Anbieter X an uns gewandt haben, möchten wir Sie heute kurz über die Strompreisentwicklung von X und eine mögliche Rückkehr zu XY informieren.

Zahlreiche X-Kunden haben vor kurzem ein ,Preisanpassungsschreiben‘ von X erhalten. Vielen dieser Kunden steht somit ein deutlicher Preisanstieg bevor. Diese Preise sind vielerorts höher als der Onlinetarif von XY [...].

Sind auch Sie betroffen?

Dann haben wir eine wichtige Information für Sie:

Die X Strompreiserhöhung räumt Ihnen ein gesondertes Recht zur Kündigung innerhalb von 4 Wochen nach Erhalt des Schreibens ein. Nutzen Sie diese Frist, um sich über die günstigen Preise von XY zu informieren. Im Internet finden Sie z.B. unseren günstigen Onlinetarif auf der Seite www.xy…. Ein Vergleich lohnt sich. Zudem können Sie hier Ihren Stromliefervertrag direkt online abschließen. XY ist auch in Zukunft ein zuverlässiger Partner vor Ort – wir freuen uns, wenn Sie sich zu einer Rückkehr entscheiden!”

Die Entscheidungen des Oberlandesgerichts Köln

§ 4 Abs. 1 BDSG eine das „Marktverhalten regelnde Bestimmung“ im Sinne des UWG ?

Der für das Kartell- und Urheberrecht sowie den Gewerblichen Rechtsschutz zuständige 6. Senat des OLG Köln musste im Rahmen des wettbewerbsrechtlichen Verfahrens zunächst feststellen, dass der das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt normierende § 4 Abs. 1 BDSG überhaupt eine das „Marktverhalten regelnde Bestimmung“ im Sinne des § 4 Nr. 11 UWG ist.

Dies ist auf den ersten Blick nicht ersichtlich; schützt das UWG doch den lauteren Wettbewerb zwischen Marktteilenehmern und das BDSG das Recht auf informationelle Selbstbestimmung.

Das Gericht stellte fest, dass § 4 Abs.1 BDSG zwar überwiegend nicht darauf abziele, Marktverhalten zu regeln. Das Verbot mit Erlaubnisvorbehalt sei jedoch insoweit eine das „Marktverhalten regelnde Bestimmung“, als sich ein Markteilnehmer auf eine datenschutzrechtliche Erlaubnis beruft, um Werbung für sich zu machen. Denn, wie schon der Bundesgerichtshof  (Urteil v. 12.07.2007, Az. I ZR 18/04) entschieden habe, auch eine dem Schutz von Rechten oder Rechtsgütern dienende Vorschrift sei dann eine Marktverhaltensvorschrift, wenn das geschützte Interesse gerade durch die Marktteilnahme berührt werde.

Der 6. Senat sah diese Konstellation hier gegeben: Die Beklagte schrieb ehemalige Kunden an, wobei sie geschützte Daten nutzte, die ihr durch die früheren Vertragsbeziehungen bekannt waren. Die Betroffen agierten hierbei als Marktteilnehmer. Da die Zulässigkeit der Nutzung dieser Daten sich nach dem BDSG richte, regele es die Zulässigkeit des fraglichen Marktverhaltens insgesamt.

Die Zulässigkeit der Rückgewinnungsschreiben nach dem BDSG

Die Beklagte nutze von den betroffenen Adressaten ihrer Schreiben deren Namen und Adressen, sowie die Information „ehemaliger eigener Kunde“ und „aktueller Kunde der Klägerinnen“. Sie nutzte demnach personenbezogene Daten und  tat dies jedenfalls ohne Einwilligung der Betroffenen und nicht zum Zwecke eines bestehenden Vertragsverhältnisses. Eine Rechtfertigung zu dieser Datennutzung war daher weder über § 4 Abs. 1 3. Alt BDSG noch über § 28 Abs. 1 Satz 1 Nr. 1 BDSG gegeben.

Die unmittelbare Anwendung von § 28 Abs. 1 Satz 2 BDSG scheiterte bereits daran, dass hiernach eine Datennutzung nur zu dem Zweck erfolgen darf, der einst bei der Erhebung der Daten konkret festgelegt worden war. Die Beklagte erhob die Daten der Betroffenen seinerzeit jedoch nicht zum Zweck, sie später im Falle von Preiserhöhungen der Konkurrenz für individualisierte Rückgewinnungsschreiben zu verwenden. 

Erlaubnis nach § 28 Abs. 2 Nr. 1 und Nr. 2a BDSG ?

Einzig in Betracht kam die mittelbare Anwendung des § 28 Abs.1 Satz 1 Nr. 2 BDSG über § 28 Abs. 2 Nr. 1 und Nr. 2a BDSG (§ 28 Abs. 2 a.F. BDSG), der die Datennutzung zu sonstigen Zwecken unter den zusätzlichen Voraussetzungen rechtfertigt, dass die Nutzung der Daten zur Wahrung „berechtigter Interessen“ erforderlich war.

Das Tatbestandsmerkmal der „berechtigten Interessen“

Das Merkmal der berechtigten Interessen wird vom BDSG nicht definiert. Das OLG stellte fest, dass das Gesetz einen Kompromiss der widerstreitenden Interessen, des Rechts auf informationelle Selbstbestimmung und des Informationsbedarfs Dritter, fordere. Dabei dürfe dieser Kompromiss nicht dazu führen, § 28 Abs. 2  BDSG zu einem Auffangtatbestand von Absatz 1 werden zu lassen.

Es sei daher bereits fraglich, ob überhaupt Daten aus einem Vertragsverhältnis über die Rechtfertigung der „berechtigten Interessen“ genutzt werden dürfen. Darauf komme es aber im vorliegenden Fall gar nicht an, so der Senat, denn es scheitere jedenfalls an der „Erforderlichkeit“ einer Datennutzung, wie sie § 28 Abs. 2 BDSG voraussetze. Erforderlichkeit sei hierbei nicht mit einer zwingenden Notwendigkeit oder einer bestmöglicher Effizienz gleichzusetzen, jedoch müsse bei vernünftiger Betrachtung der Nutzer auf das fragliche Mittel angewiesen sein.

Das Gericht bejaht die Erforderlichkeit der Nutzung der Adressdaten der Betroffenen und der Information „ehemaliger eigener Kunde“, da sonst unnötige Werbung an eigene Kunden verschickt werden könnte. Die Rückgewinnung ehemaliger Kunden sei daher ein berechtigtes Interesse.

Es zog jedoch die Grenze bei der Nutzung der Information „jetziger Kunde der Klägerinnen“. Dies mache zwar die Werbung wirksamer, darauf sei die Beklagte aber nicht angewiesen und die Datennutzung im Ergebnis daher nicht erforderlich.

Diese, bereits im einstweiligen Verfügungsverfahren erfolgte und hier vom Gericht bestätigte Auslegung der „berechtigten Interessen“ stieß auf Kritik in der Literatur (Haas/Stallberg MMR 2009, 846 ff.). Die Frage der Effizienz hätte der Senat nicht bereits im Rahmen der Erforderlichkeit prüfen müssen, sondern betreffe die Abwägung der Interessen der Datenverwender und der betroffenen Kunden.

Das OLG verkenne weiterhin, dass das Datenschutzrecht nicht der möglichst effizienten Gestaltung von Werbemaßnahmen eine Grenze ziehen möchte, sondern es allein darauf ankomme, ob die konkrete Verwendung der Kundendaten im berechtigten Interesse der Antragsgegnerin erfolge und dieser Nutzung keine schutzwürdigen Interessen der Kunden entgegenstünden.

Vielmehr werde durch ein Werbeschreiben, das unter Nutzung des Datums „Neuer Anbieter des Kunden” den ehemaligen Kunden maßgeschneidert und damit möglichst schonend anspricht, der jeweils angesprochene ehemalige Kunde ersichtlich weniger beeinträchtigt, als dies durch eine weniger zielgerichtete Maßnahme geschehen würde.

Der 6. Senat ging auf diese Kritik ein und bekräftigte seine Auslegung aus dem einstweiligen Verfügungsverfahren. Zunächst einmal dürften nicht alle Einzelheiten der Werbeaktion zu „berechtigten Interessen“ erhoben werden. Täte man dies, dann erübrige sich die Erforderlichkeitsprüfung, denn es sei stets unabdingbar, die Daten zu nutzen, anhand derer das Interesse definiert worden ist.

Anderenfalls stünde man zudem im Widerspruch zu § 28 Abs. 3 Satz 2 Nr. 1 BDSG (§ 28 Abs. 3 Satz 1 Nr. 3 lit. a) a.F. BDSG). Dort sei die Verwendung kombinierter Merkmale zu Werbezwecken verboten, da sie eine zu starke Individualisierung zuließen.

Das Gericht stellte fest, dass auch hier die Datenschutznovellierung von 2009 nicht zu einem anderen Ergebnis führe. Schon der amtlichen Begründung nach sollten die Gesetzesänderungen zu einer Verschärfung von § 28 BDSG führen. Zwar stünde im Wortlaut § 28 Abs. 3 BDSG nun nicht mehr „Angabe“, sondern „Angaben“. Dies bedeute jedoch nicht, dass man nunmehr eine Personengruppe über mehr als ein Merkmal definieren dürfe. Vielmehr beziehe sich der Plural „Angaben“ auf die beiden Möglichkeiten der Zugehörigkeit, nämlich bejahend oder verneinend.

Die Beklagte habe die Merkmale „ehemaliger eigener Kunde“ und „aktueller Kunde der Konkurrenz“ daher unzulässig miteinander kombiniert.

Auch entgegenstehende schutzwürdige Interessen

Das OLG ging auch auf die Kritik der vermeintlich nicht entgegenstehenden schutzwürdigen Interessen der Kunden ein. Die betroffenen Adressaten der individualisierten Werbebriefe hätten durchaus entgegenstehende schutzwürdige Interessen. Derartige Schreiben seien geeignet, ihnen ein Gefühl der informationellen Unterlegenheit zu vermitteln, denn sie hätten das Vertragsverhältnis damals bewusst beendet und die fraglichen Informationen dem Werbenden gar nicht zur Verfügung gestellt.

Die Kundenrückgewinnungsaktion der Beklagten waren nach alldem mangels Erforderlichkeit der Nutzung der Information „aktueller Kunde der Klägerinnen“ und entgegenstehender schutzwürdiger Interessen der Betroffenen datenschutzrechtlich und im vorliegenden Fall auch wettbewerbsrechtlich nach §§ 3, 4 Nr. 11 UWG unlauter. 

Fazit

Die Kritiker haben dem OLG prognostiziert, kaum Anhänger für seine Rechtsprechung zu finden. Auch sei eine solche Auslegung nach der Novellierung des § 28 BDSG nicht mehr haltbar. Der 6. Senat hielt dem entgegen und verwies dabei auch auf die Kommentierung zu § 28 BDSG, der sich ein weitreichender Paradigmenwechsel nach der Novellierung nicht entnehmen lasse. Letztendlich bleiben weitere Entwicklungen abzuwarten.

Für Unternehmen der Netzwirtschaft kann diese Entscheidung jedoch nicht ohne Konsequenzen bleiben. Tatsächlich sind, wie die Autoren der Kritik einleitend hinweisen, Kundenwechsel in der Netzwirtschaft ein häufiges Phänomen. Während die Märkte in der Telekommunikation dynamisch sind und ein realer Wettbewerb besteht, sieht die Situation bei den Versorgern noch immer anders aus. Trotz wachsender Wechselbereitschaft herrscht ein so geringer Wettbewerb, dass die großen Versorger fast nach Belieben die Preise erhöhen. „Rückgewinnungsschreiben“ können hier den Wettbewerb beleben.

Die Rechtsprechung des 6. Senats kann für die Netzwirtschaft nur die Konsequenz nach sich ziehen, dass die Rechtfertigung einer Datennutzung ehemaliger Kunden über § 28 BDSG zwar möglich ist, aber keine Alternative sein kann zu einer Einwilligung, die den Anforderungen nach § 4a BDSG gerecht wird. Die inhaltliche Ausgestaltung der Einwilligungserklärung muss gewährleisten, dass Kunden auch nach Beendigung des Vertragsverhältnisses „im Netz“ bleiben.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Diplom-Jurist Michael Stolze, LL.M. LL.M.

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Der Sachverhalt in Kürze

Im Jahr 2003 hatte eine Krankenkasse eine Unterlassungserklärung gegenüber der Verbraucherzentrale Sachsen abgegeben. Dieser Unterlassungserklärung ging zu dieser Zeit eine Abmahnung voraus, zukünftig keine Anrufe bei Verbrauchern vorzunehmen ohne über eine entsprechende Einwilligungserklärung zur Telefonwerbung zu verfügen. In der Unterlassungserklärung verpflichtete sich die Krankenkasse für jeden Verstoß eine Vertragsstrafe zu bezahlen. Nachdem die Verbraucherzentrale im Jahr 2008 darauf aufmerksam gemacht wurde, dass die Krankenkasse angeblich weiterhin Werbeanrufe ohne Einwilligung durchführte, wurde diese aufgrund der Unterlassungserklärung in Anspruch genommen.

In dem folgenden Klageverfahren behauptete die Krankenkasse, dass die Einwilligungserklärungen zusammen mit der Teilnahme an einem Online-Gewinnspiel eingeholt wurden. Im Klageverfahren gelang es der Krankenkasse jedoch nicht, diese Einwilligung wirksam nachzuweisen. Der BGH hatte nun letztinstanzlich über die Revision der Beklagten zu entscheiden.

Die Feststellungen des Bundesgerichtshofes

Der Bundesgerichtshof hat die Revision der Beklagten zurückgewiesen. Das deutsche Datenschutzrecht verstoße nicht bereits deshalb gegen europäisches Recht, weil es über die europarechtlichen Vorgaben hinausgehe. Es sei grundsätzlich zulässig, Telefonwerbung gegenüber Betroffenen von deren ausdrücklicher Erklärung abhängig zu machen.

Datenschutzrechtliche Rahmenbedingungen für das Direktmarketing

Im Grundsatz gilt: möchte ein Unternehmen bei Privatpersonen Telefonmarketing-Aktionen durchführen, bedarf dies der ausdrücklichen Einwilligung der Betroffenen. In der Einverständniserklärung müssen dabei zwingend das Kontaktmedium, der Grund der Kontaktaufnahme und der potentielle Verwender genannt werden. Daneben ist immer auf eine Widerrufsmöglichkeit hinzuweisen.

“Opt-in” und “Opt-out”

Zulässige Methode, um die Einwilligungserklärung von den Betroffenen einzuholen ist die so genannte „Opt-in“-Methode. Diese bedeutet im normalen Geschäftsverkehr, dass entweder im Internet oder auf dem Papier ein Kästchen angekreuzt werden kann.

Unzulässig ist, ein vorangekreuztes Kästchen im Internet zu präsentieren, welches der Webseitenbenutzer dann ausschalten/ausklicken kann („Opt-out“). Gleiches gilt nach der Entscheidung des BGH soweit ein schriftliches Dokument vorliegt auch für vorgegebene Erklärungen in Vertragsteilen, die im Vertragstext vorgegeben sind und lediglich gestrichen werden können.

Beweisführung der verantwortlichen Stelle

Besonders zu beachten ist die Beweisführung der verantwortlichen Stelle in Bezug auf das Vorliegen einer datenschutzrechtlichen Einwilligungserklärung.

Wie der BGH in der oben zitierten Entscheidung ausgeführt hat liegt die Beweislast hinsichtlich des Vorliegens einer Einwilligungserklärung für das Telefon-Direkt-Marketing beim Unternehmen. Das heißt: eine schriftliche Einwilligungserklärung muss aufbewahrt, eine E-Mail-Erklärung gespeichert werden, um im Zweifel den Nachweis führen zu können, dass der Betroffene in die Telefonwerbung eingewilligt hat.

Fazit

Möchten Unternehmen gegenüber Privatpersonen Telefon-Direkt-Marketing-Aktionen durchführen bedürfen sie hierzu der ausdrücklichen Einwilligung der Betroffenen. Um auch im Zweifel den Nachweis führen zu können, die Einwilligung einer Privatperson in die Durchführung von Werbeanrufen erhalten zu haben, sollten Unternehmen die Einwilligungserklärungen (seien diese per Internet/E-Mail oder schriftlich erteilt) entsprechend aufbewahren.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Bedeutung

§ 1 Abs. 1 IFG gesteht jedermann einen Anspruch auf Zugang zu amtlichen Informationen gegenüber Behörden des Bundes zu. Das heißt jeder, nicht nur jeder deutsche, Bürger kann sich ohne weiteres an eine beliebige Bundesbehörde wenden und Auskunft über jedwede dort befindliche Information verlangen. Die Angabe von Gründen ist dafür grundsätzlich nicht erforderlich. Auch ist die Antragsstellung nicht an eine bestimmte Form gebunden.

Paradigmenwechsel

Der unbeschränkte Zugang zu behördlichen Informationen ist nach der deutschen Rechtstradition des Amtsgeheimnisses keineswegs eine Selbstverständlichkeit. Früher galt der Grundsatz, dass Behördendaten nur ausnahmsweise und grundsätzlich nur an Verfahrensbeteiligte weitergegeben werden. Diese hatten, und haben noch immer, ein Recht auf Akteneinsicht gem. § 29 Verwaltungsverfahrensgesetz (VwVfG).

Entwicklung in Deutschland

Die gesetzlichen Rahmenbedingungen wurden in Deutschland erstmals 1994 mit dem Umweltinformationsgesetz (UIG) geändert, das einen Anspruch auf Zugang zu umweltrelevanten Informationen verschaffte. Vor Inkrafttreten des für alle Arten von Informationen geltenden IFG des Bundes hatte es seit 1998 bereits in einigen Bundesländern (nämlich Berlin, Brandenburg, Schleswig-Holstein und Nordrhein-Westfalen) Gesetze mit entsprechendem Regelungsgegenstand gegeben. Ein 1997 im Bundestag vorgelegter Entwurf wurde sehr kontrovers diskutiert. Insbesondere das Bundesministerium der Finanzen äußerte damals Bedenken. Zur Fassung in Gesetzesform kam es vorerst nicht. Weitere Entwürfe folgten 1998, 2002 und 2004. Letzterer wurde Gesetz und trat schließlich am 1.1.2006 in Kraft. Später kam auch noch das Verbraucherinformationsgesetz (VIG) hinzu.

Landesebene: kein bayerisches Informationsfreiheitsgesetz

In Bayern existiert bislang kein Landes-Informationsfreiheitsgesetz. In einigen Gemeinden versuchte man diesen Umstand durch kommunale Informationsfreiheitssatzungen auszugleichen. In Bad Aibling und Ebersberg scheiterte dieses Unterfangen. Schwandorf verfügt hingegen bereits über eine solche Satzung. Zu bei Behörden des Freistaats Bayern befindlichen Informationen bleibt der Zugang aber bis auf Weiteres verschlossen.

Welche Behörden sind auskunftsverpflichtet?

Einer Verpflichtung zur Auskunftserteilung nach dem IFG unterliegt eine Bundesbehörde nur, wenn und soweit sie öffentlich-rechtliche Verwaltungsaufgaben wahrnimmt. Darunter fallen insbesondere nicht parlamentarische Aufgaben und Rechtsprechung. Von der Auskunftspflicht ebenfalls ausgenommen sind Kreditinstitute des Bundes.

Zuständigkeit

Die Informationsfreiheit fällt in den Zuständigkeitsbereich des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Seine Aufgabe ist es, den Informationsfreiheitsgesetzen zur Durchsetzung zu verhelfen. Er sieht das Recht auf Informationsfreiheit als eine wichtige Voraussetzung für Transparenz und Bürgerbeteiligung an. Es sei „Ausdruck eines veränderten Staatsverständnisses“. Partizipation spiele eine immer wichtigere Rolle und Voraussetzung dafür sei eben der Zugang zu Informationen (vgl. dazu die Rede von Peter Schaar am 1. Oktober 2010 bei der Friedrich Ebert-Stiftung).

Herausgabe auch nachteiliger Informationen

Umstritten ist die Frage, ob die Behörden auch solche Informationen herausgeben müssen, die gegen sie verwendet werden können. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und auch die herrschende Meinung in der Literatur beantworten die Frage mit einem klaren „Ja“.

Erster Prüfstein: Toll Collect

Eine erste Bewährungsprobe für das neue Informationsfreiheitsgesetz waren die Maut-Verträge zwischen der Bundesregierung und der Betreiberfirma Toll Collect. Der SPD-Abgeordnete Jörg Tauss stellte Anfang 2006 einen Antrag auf Einsicht in den Vertrag mit Toll Collect, den die Bundesregierung geheim hielt. Die Auskunft wurde verweigert mit der Begründung, es seien Betriebs- und Geschäftsgeheimnisse betroffen und nachteilige Auswirkungen auf das schiedsgerichtliche Verfahren seien zu befürchten. Der Bundesdatenschutzbeauftragte Peter Schaar kam nach einer Überprüfung zu dem Ergebnis, dass diese Gründe nur für Teile der begehrten Informationen greifen würden. Das veränderte Regel-Ausnahme-Verhältnis fand bei der damaligen Entscheidung noch nicht ausreichend Berücksichtigung.

Ausnahmen

Die §§ 3 bis 6 IFG enthalten Beschränkungen des Auskunftsanspruchs für die Fälle, in denen Interessen Betroffener entgegenstehen. So besteht kein Anspruch, wenn Betriebs- und Geschäftsgeheimnisse oder personenbezogene Daten Dritter Gegenstand des Auskunftsersuchens sind. Ist der behördliche Entscheidungsprozess behindert oder stehen öffentliche Belange entgegen, ist der Anspruch ebenfalls ausgeschlossen.

Verweigerung der Auskunftserteilung ist ultima ratio

Bevor die Erteilung einer Auskunft aufgrund entgegenstehender Rechte Dritter vollumfänglich verweigert wird, ist zu prüfen, ob den Schutzbelangen nicht dadurch Rechnung getragen werden kann, dass nur ein Teil der Informationen herausgegeben oder gemäß § 1 Abs. 2 IFG, anstatt Kopien mitzugeben, lediglich ein Einsichtsrecht gewährt wird.

Akteneinsichtsrecht eventuell günstiger

Der Anspruch nach § 29 VwVfG steht neben § 1 Abs. 1 IFG. Es kann unter Umständen günstiger sein, sein Auskunftsersuchen darauf zu stützen, weil ihm die Versagungsgründe der §§ 3 bis 6 IFG nicht entgegengesetzt werden können.

Verhältnis zum Datenschutz

Für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bilden Datenschutz und Informationsfreiheit „zwei Seiten einer Medaille.“ Es gilt auch hier der allgemeine Rechtsgrundsatz, dass die Freiheit des Einzelnen dort endet, wo die Rechte Anderer verletzt werden. Das heißt, übertragen auf das Verhältnis von Datenschutz und Informationsfreiheit, dass Auskunft nur insoweit zu erteilen ist, als nicht unzulässigerweise personenbezogene Daten Anderer preisgegeben werden. Nach § 5 Abs. 1 IFG dürfen Informationen nur dann herausgegeben werden, wenn das Interesse an den Informationen das Interesse am Schutz der personenbezogenen Daten überwiegt, was einen prinzipiellen Vorrang des Datenschutzes bedeutet. In diesem Sinne hat auch der Europäische Gerichtshof in der Sache C-28/08 P Kommission/Bavarian Lager entschieden. Hiernach hat der Auskunftbegehrende Gründe darzulegen, weshalb er die betreffenden Informationen benötigt oder es muss die Zustimmung der betroffenen Personen vorliegen.

Schutz von Betriebs- und Geschäftsgeheimnissen

Unternehmen haben ein schutzwürdiges Interesse daran, dass bestimmte Informationen, z.B. Kundenlisten oder Bezugsquellen, die sie den Behörden mitteilen mussten, nicht an die Öffentlichkeit gelangen. Dem steht mitunter der Anspruch auf freien Zugang zu Behördeninformationen entgegen. Anders als für personenbezogene Daten fehlt es für Betriebs- und Geschäftsgeheimnisse an einer Abwägungsklausel. Das Gesetz sagt nichts darüber aus, welches Interesse grundsätzlich höher zu bewerten ist.

Weitere Beschränkung des Anwendungsbereichs

In der Diskussion ist derzeit, eine Kategorie von Informationen aus dem Anwendungsbereich des IFG auszunehmen. Sämtliche Informationen aus dem Bereich der Finanz-, Wertpapier- und Versicherungsaufsicht sollen fortan gesperrt werden (vgl. BT-Drucksache 16/11613, S. 64).

Kosten

Sofern eine Behörde dem Auskunftsbegehren stattzugeben hat, sind die zu erteilenden Informationen nicht kostenlos. Wenn es sich nicht um eine einfache Auskunft handelt, erhebt die auskunftsverpflichtete Behörde nach § 10 IFG Auslagen und Gebühren. Entsprechende Regelungen finden sich in § 6 Verbraucherinformationsgesetz (VIG) und § 12 UIG. Genaueres zur Kostenerhebung nach dem IFG regelt die Informationsgebührenverordnung (IFGGebV) des Bundesinnenministeriums, die als Anlage ein Gebühren- und Auslagenverzeichnis enthält.

Zu hohe Kosten

Obwohl durch die Höhe der erhobenen Kosten der Auskunftsanspruch nach § 1 Abs. 1 IFG nicht faktisch entwertet werden darf, sind diese mitunter ziemlich hoch. Es wurde sogar die Bezeichnung „Strafgebühr“ verwendet. Erscheinen die verlangten Auslagen und Gebühren unverhältnismäßig, kann der Kostenbescheid zunächst durch Widerspruch bei der Behörde, sodann auch vor Gericht angegriffen werden. Das Münchener Verwaltungsgericht (Urteil vom 15.11.2010, Az.: M 18 K 08.5934) hat einen Kostenbescheid, aufgeboben, weil bei dessen Erlass der Verhältnismäßigkeitsgrundsatz nicht beachtet worden war.

Praktischer Anwendungsbereich

Im November des vergangenen Jahres verklagte der Asse Untersuchungsausschuss das Kanzleramt auf Grundlage des IFG auf Herausgabe der Akten zum Atommülllager „Asse“, die seit einem Jahr zumindest größtenteils verweigert wird.

Werkzeug für Journalisten

Ein wirkungsvolles Werkzeug stellt das IFG für Journalisten dar. Sie können, wie jeder andere Interessierte auch, zum Beispiel Auskunft zu Haushaltsausgaben von Parlamentariern verlangen. So geschehen in einem Fall, den das Verwaltungsgericht Berlin am 11.11.2010 zu entscheiden hatte und in dem es um das Auskunftsersuchen eines Journalisten bezüglich der Anschaffung von teuren Füllern und Digitalkameras für Abgeordnete aus Haushaltsmitteln ging. Das Gericht gab dem Bundestag auf, die ergangene Ablehnung erneut zu prüfen. Die vorgebrachten Ablehnungsgründe, der Aufwand für die Informationsbeschaffung sei unverhältnismäßig hoch und die Betriebs- und Geschäftsgeheimnisse der Lieferanten seien gefährdet, berechtigten nämlich nicht zur völligen Zurückweisung. Insbesondere hätte man die Möglichkeit gehabt, die Einwilligung der Betroffenen einzuholen.

„Befreite Dokumente“

Weil es aufgrund hoher Kosten und durch unberechtigte Verweigerung der Herausgabe von Informationen um die faktische Durchsetzbarkeit des IFG nach ihrer Auffassung noch nicht sehr gut bestellt ist, haben der Chaos Computer Club und der Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs die Plattform www.befreite-dokumente.de geschaffen. Dort können nach Maßgabe der Informationsfreiheitsgesetze erlangte Informationen der Allgemeinheit zur Verfügung gestellt und eingesehen werden. Außerdem bietet die Seite Hilfestellung bei der Anforderung von Informationen.

Fazit

Die derzeit geltenden Informationsfreiheitsgesetze haben faktisch noch nicht die Schlagkraft, die sie nach den Buchstaben des Gesetzes haben könnten. Im Grundsatz entwickelt sich hier das Recht aber zu Gunsten der Antragsteller.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Frau Karola Berger (Jurist (univ.))

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

In der Pressemitteilung auf der Webseite des BAG heißt es weiter:

“Die seit 1981 bei der Beklagten zu 1) beschäftigte Klägerin wurde im Jahr 1992 zur Datenschutzbeauftragten der Beklagten zu 1) und deren 100%iger Tochtergesellschaft, der Beklagten zu 2), berufen. Diese Aufgabe nahm ca. 30 % ihrer Arbeitszeit in Anspruch. Seit 1994 ist die Klägerin auch Mitglied im Betriebsrat bei der Beklagten zu 1). Am 12. August 2008 beschlossen die Beklagten, die Aufgaben des Beauftragten für den Datenschutz zukünftig konzernweit einheitlich durch einen externen Dritten wahrnehmen zu lassen. Sie widerriefen deshalb die Bestellung der Klägerin. Die Beklagte zu 1) sprach zudem gegenüber der Klägerin eine Teilkündigung dieser Aufgabe aus. Die Klägerin hat sich mit ihrer Klage gegen diese Maßnahmen gewandt.

Die Vorinstanzen haben der Klage stattgegeben. Die Revision der Beklagten hatte vor dem Zehnten Senat des Bundesarbeitsgerichts keinen Erfolg.

Die gesetzliche Regelung der § 4 f Abs. 3 Satz 4 BDSG, § 626 BGB gewährt dem Beauftragten für den Datenschutz einen besonderen Abberufungsschutz. Damit soll dessen Unabhängigkeit und die weisungsfreie Ausübung des Amtes gestärkt werden. Eine Abberufung ist nur aus wichtigem Grund möglich, wenn eine Fortsetzung des Rechtsverhältnisses für den Arbeitgeber unzumutbar ist. Zwar ist der Arbeitgeber bei der erstmaligen Bestellung frei, ob er einen internen oder externen Datenschutzbeauftragten bestellt. Hat er hingegen einen internen Beauftragten bestellt, kann er nicht dessen Bestellung allein mit der Begründung widerrufen, er wolle nunmehr einen Externen konzernweit mit dieser Aufgabe beauftragen. Allein in einer solchen Organisationsentscheidung liegt kein wichtiger Grund. Ebenso wenig rechtfertigt die bloße Mitgliedschaft im Betriebsrat, die Zuverlässigkeit eines Beauftragten für den Datenschutz in Frage zu stellen. Auf konkrete Pflichtenverstöße haben sich die Beklagten nicht berufen.”

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Aus dem Urteil:

Die Klägerin begehrte von der Beklagten Auskunft über Namen und Anschrift der unter bestimmten Pseudonymen in dem von der Beklagten betriebenen Internetforum schreibenden Nutzer. Die Klägerin betreibt mehrere Autohäuser mit verschiedenen Niederlassungen. Die Beklagte ist Betreiberin einer Internetplattform, auf der registrierte Nutzer Erfahrungen im Bereich Auto austauschen können. In diesem Forum wurden nun Erfahrungsberichte veröffentlicht, durch die die Klägerin sich in ihren Rechten verletzt sieht, da sie sich durch die Berichte diskreditiert fühlt.

Die Beklagte hat die streitgegenständlichen Berichte unverzüglich aus dem Forum entfernt, nachdem die Klägerin sie auf diese Beiträge hingewiesen hat.

Die Klägerin hat zudem von der Beklagten Auskunft über die Kontaktdaten der Nutzer verlangt, um diese auf Unterlassung in Anspruch nehmen zu können. Die Beklagte hat die Auskunftserteilung unter Hinweis auf datenschutzrechtliche Bestimmungen verweigert.

Die Klägerin meint, das Telemediengesetz sei nicht auf die Beklagte anzuwenden. Der Anspruch der Klägerin gründe sich auf §§ 242, 261 BGB. Im Übrigen stehe der Klägerin auch nach § 14 Abs. 2 TMG der geltend gemachte Anspruch zu, da dieser auf die Klägerin analog anzuwenden sei.

Die Beklagte gibt an, § 14 Abs. 2 TMG gebe der Klägerin keinen Auskunftsanspruch. Darüber hinaus mache sich die Beklagte nach § 16 TMG einer Ordnungswidrigkeit im Falle der Auskunftserteilung schuldig. Die Voraussetzungen eines sich aus §§ 242, 261 BGB ergebenden Anspruches lägen nicht vor.

Nach Ansicht des Gerichts ist die Klage unbegründet, da die Klägerin gegen die Beklagte keinen Anspruch auf Auskunftserteilung hat.

Als Veranstalterin eines Internetforums, dass den Nutzern inhaltliche Dienste anbiete, unterfalle die Beklagte dem Telemediengesetz. Dort seien Auskunftsansprüche ausdrücklich geregelt und zwar in § 14 Abs. 2 des Gesetzes. Danach dürfe der Diensteanbieter auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich sei. Keine der Voraussetzungen sei jedoch im vorliegenden Fall erfüllt.

Eine analoge Anwendung dieser Vorschrift scheide aus, da sich bereits aus dem Gesetz ergäbe, dass eine solche Erweiterung nicht möglich sei. § 12 des Gesetzes regele ausdrücklich, dass der Diensteanbieter die Bereitstellung der Daten für andere Zwecke nur ermöglichen dürfe, soweit eine andere Rechtsvorschrift, die sich ausdrücklich auf die Telemedien beziehe, dies erlaube oder der Nutzer einwillige. Eine solche Rechtsvorschrift existiere im vorliegenden Fall nicht.

Die Klägerin habe auch keinen Anspruch auf Auskunftserteilung aus §§ 242, 259 BGB, da es sich bei der Regelung in § 14 Abs. 2 TMG um eine lex specialis zu diesem allgemeinen Anspruch handele, so dass ein Rückgriff auf den aus Treu und Glauben abgeleiteten Auskunftsanspruch ausscheide. Auch hier schließe die Regelung in § 12 TMG die Auskunftserteilung aufgrund eines allgemeinen Auskunftsanspruches aus, da eben gerade keine Regelung vorliege, die sich ausdrücklich auf Telemedien beziehe.

Da die Klägerin sich auch staatsanwaltschaftlicher Hilfe bedienen könne, sollte sie durch die Berichte beleidigt oder verleumdet worden sein, sei sie auch nicht völlig rechtlos gestellt. Über ein Ermittlungsverfahren könne sie an die gewünschten Daten gelangen.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

“Es genüge vielmehr” – so der BGH weiter – “dass die in Rede stehende Datenerhebung und -verwendung geeignet, erforderlich und im engeren Sinn verhältnismäßig ist, um abstrakten Gefahren für die Funktionstüchtigkeit des Telekommunikationsbetriebs entgegenzuwirken.”

Damit bestätigt der BGH in der Sache das OLG Frankfurt am Main sowie das LG Darmstadt, welche in den Vorinstanzen mit dem Fall betraut waren, dass ein Telekom-Kunde keinen Anspruch auf sofortige Löschung seiner IP-Adressen habe (weitere Details zu dem Fall finden Sie hier).

Allerdings hebt der BGH das Urteil des OLG Frankfurt am Main auf und verweist die Angelegenheit an das Gericht zurück, da nach “dem derzeitigen Sach- und Streitstand (…) nicht auszuschließen [ist], dass die Beklagte zu einer vorübergehenden Speicherung der dem Rechner des Klägers jeweils zugeteilten dynamischen IP-Adressen nach Beendigung der Internetverbindungen nicht berechtigt ist, so dass dieser gemäß § 44 Abs. 1 Satz 1 i.V.m. § 96 Abs. 1 Satz 3 TKG die unverzügliche Löschung verlangen kann. Sofern für die Speicherung der IP-Adressen keine Rechtsgrundlage besteht, kann dieser Anspruch je nach den technischen Möglichkeiten auch auf eine “sofortige” Löschung hinauslaufen. (…)

Die Beklagte ist entgegen der Ansicht der Revisionserwiderung für die tatsächlichen Voraussetzungen ihrer Berechtigung, die streitgegenständlichen Daten zu speichern, darlegungs- und beweisbelastet.”

Es ist indes zu erwarten, dass der Telekom dieser Nachweis in der Praxis leicht gelingen dürfte.

Die Entscheidung war unter anderem auch deshalb mit Spannung erwartet worden, da bei einer sofortigen Löschungspflicht das Merkmal der “Personenbeziehbarkeit” von IP-Adressen in Frage gestanden hätte.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

If a company has to appoint a company Data Protection Officer, then the question becomes who will be suitable to carry out the office? Apart from the question of whether an Internal Data Protection Officer or an External Data Protection Officer is more suitable for the company, this article will explain which employees in the company can perform the tasks of the Data Protection Officer and when difficulties may arise when determining the officer.

Read more…

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Der Begriff der personenbezogenen Daten

Gemäß § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Begriff bezieht sich auf die natürliche Person

Nach dem Wortlaut des Gesetzes unterliegen nur personenbezogene Daten natürlicher Personen dem Schutz des Gesetzes. Hinter dem Begriff der natürlichen Person versteckt sich der Mensch in seiner Rolle als Rechtssubjekt, das heißt als Träger von Rechten und Pflichten. Rechtssubjekte, die Träger von Rechten und Pflichten sind, aber keine Menschen sind, wie z.B. Unternehmen, sind als juristische Personen zu bezeichnen. Damit werden Angaben über diese nach dem Wortlaut des Gesetzes nicht von dem Begriff der personenbezogenen Daten umfasst.

„Grundrecht des Datenschutzes“: Recht auf informationelle Selbstbestimmung

Die Datenschutzgesetze sind gestützt auf das im Grundgesetz durch Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 garantierte Recht auf informationelle Selbstbestimmung, welches durch die Datenschutzgesetze ausgestaltet und konkretisiert wird. Da sich die Datenschutzgesetze in Deutschland nur auf natürliche Personen beziehen, kommt der Schutzumfang, welcher das Grundrecht konkretisiert, nur diesen zu Gute. Dies ist nicht selbstverständlich, da nach Art. 19 Abs. 3 des Grundgesetzes die Grundrechte grundsätzlich auch für inländische juristische Personen gelten, wenn diese ihrem Wesen nach auf sie anwendbar sind. Dass auch Unternehmen grundsätzlich ein Interesse daran haben können, die unternehmensbezogenen Angaben selbst beeinflussen zu können, wird damit durch die einfachgesetzliche Ausgestaltung des Grundrechts in den Datenschutzgesetzen nicht direkt anerkannt.

Entscheidung des Oberverwaltungsgerichts Niedersachsen

Auch juristische Personen können letztlich jedoch Träger des Rechts auf informationelle Selbstbestimmung als Teilbereich des allgemeinen Persönlichkeitsrechts sein, wie auch das Oberverwaltungsgericht Niedersachsen in der Entscheidung (10 ME 385/08) feststellt. Gleichzeitig wird jedoch festgehalten, dass die Schutzschwelle in diesem Zusammenhang hoch anzusetzen ist.

„Mitglieder“ der juristischen Person werden geschützt

Die hinter der juristischen Person stehenden Menschen werden jedoch durch die Datenschutzgesetze geschützt, wenn sich die Angaben über die Gesellschaft auch auf sie beziehen. So können beispielsweise Angaben über eine GmbH zu den Gesellschaftern, Beschäftigten oder Geschäftsführern dieser GmbH Bezug haben („Herr XYZ arbeitet bei der ABC GmbH“).

Ansicht des Verwaltungsgerichts Wiesbaden

Ausnahmsweise kann auch die Unternehmensbezeichnung allein bereits ein personenbezogenes Datum im Sinne von § 3 Abs. 1 BDSG darstellen, wenn zwischen der GmbH und den „hinter“ ihr stehenden Personen eine enge wirtschaftliche Bindung besteht, die sich auch durch eine finanzielle oder personelle Verflechtung äußern kann. Der Schutz, welcher durch die Datenschutzgesetze gewährt wird, schlägt dann auf die hinter der Gesellschaft stehenden Personen durch, so dass der Schutzumfang voll besteht.

Nach der Beurteilung des Verwaltungsgerichts Wiesbaden vom 7.12.2007 können etwa die Wirtschaftsdaten einer juristischen Person personenbezogene Daten einer natürlichen Person sein, wenn diese einer Person als Alleinaktionär oder Gesellschafter zuzurechnen sind. Insoweit beziehen sich die Daten dann auf das Vermögen des alleinigen Eigentümers. Dieser als natürliche Person wird in diesen Daten in seinem Recht auf informationelle Selbstbestimmung betroffen und nach der oben dargestellten Begriffsbestimmung der personenbezogenen Daten durch die Datenschutzgesetze geschützt. Die Frage wurde später auch dem Europäischen Gerichtshof zur Entscheidung vorgelegt.

Ein-Mann-GmbH oder Einzelfirma: Datenschutzgesetze sind anwendbar

Die genannten finanziellen und personalen Verbindungen treten häufig bei der so genannten „Ein-Mann-GmbH“ oder Einzelfirmen auf. Hier kann in der Regel davon ausgegangen werden, dass ein Bezug zu der „hinter“ der juristischen Person stehenden natürlichen Person besteht. Beim Einzelkaufmann besteht rechtliche Identität, so dass eine Trennung in gewerbliche und personenbezogene Daten nicht stattfinden kann und die Datenschutzgesetze vollumfänglich anwendbar sind.

EuGH hat Schutzumfang vor kurzem bestätigt

Auch der Europäische Gerichtshof hat den dargestellten Schutzumfang in seinem Urteil vom 9. November 2010 bestätigt (Az. C‑92/09 und C‑93/09, Rz. 54). Lässt etwa der Name der klagenden Gesellschaft des bürgerlichen Rechts Rückschlüsse auf die dahinter stehenden Gesellschafter zu, kann so ein Personenbezug hergestellt wird. Wenn die gezahlten Subventionen für die Empfänger einen großen Teil ihrer Einkünfte darstellen, ist mit der Veröffentlichung solcher Daten die Privatsphäre der einzelnen berührt. Doch auch der Europäische Gerichtshof geht in seinem Urteil davon aus, dass die Gewichtung des Schutzes personenbezogener Daten bei juristischen Personen eine andere ist als bei natürlichen Personen. Mehr zu dieser Entscheidung können sie hier lesen.

Nachbarländer beziehen oftmals juristische Personen in den Schutzumfang mit ein

Die Datenschutzrichtline 95/46/EG schreibt die Beschränkung des Schutzumfangs auf natürliche Personen gerade nicht vor, sondern hat in diesem Bereich den Mitgliedsstaaten der EU einen Handlungsspielraum gewährt, ob juristische Personen auch von den Datenschutzgesetzen umfasst werden sollen. Demgemäß haben Datenschutzgesetze anderer Länder (z. B. Österreich, Dänemark, Luxemburg) juristische Personen in ihren Schutzbereich mit einbezogen (so im Übrigen auch die Schweiz). Der deutsche Gesetzgeber hat die juristischen Personen jedoch nicht in den Schutzumfang aufgenommen, so dass diese Bewertung im Rahmen der Datenschutzgesetze und auch bei einer Bestimmung deren Recht zur informationellen Selbstbestimmung beachtet werden muss.

Besonderer Datenschutz der juristischen Person nach dem Telekommunikationsgesetz

Während das BDSG nur für Einzelangaben natürlicher Personen anwendbar ist, weitet das Telekommunikationsgesetz (TKG) gemäß § 91 Abs. 1 TKG den Anwendungsbereich des Telekommunikationsdatenschutzes auf diese aus. Nach dieser Norm werden Einzelangaben über juristische Personen (z. B. AG und GmbH) und Personengesellschaften (z. B. OHG und KG) den Angaben über natürliche Personen gleichgestellt und vom TKG in dessen Abschnitt 2 geschützt. Daten, die durch das Fernmeldegeheimnis geschützt werden, beziehen sich insbesondere darauf, ob eine juristische Person an einem Telekommunikationsvorgang beteiligt ist oder war (Verbindungsdaten). In diesem Punkt genießen juristische Personen damit vollen Schutzumfang. Der Gesetzgeber hat damit einen besonderen Schutzumfang auch für juristische Personen in einem konkreten Punkt bestimmt.

Ende der Forderung nach einem „Personenbezug“ von Daten?

Auch auf dem Triberger Symposium klang in den Vorträgen von Herrn Peter Schaar und Herr Professor Bäcker an, dass die in § 3 Abs. 1 BDSG vorgenommene Definition von personenbezogenen Daten nicht mehr ausreichend Schutz bieten würde. Vielmehr war eine klare Tendenz zu erkennen, dass man für einen effektiven Datenschutz künftig die Ansammlung von Daten auch dann regulieren müsse, wenn es sich nicht um personenbezogene Daten handeln würde. Nach der momentanen gesetzlichen Gestaltung kann wie dargestellt aber nicht eine einfache Erweiterung und Ausweitung des Begriffes zu Gunsten der juristischen Personen angenommen werden.

Fazit

Daten juristischer Personen werden vom Anwendungsbereich der deutschen Datenschutzgesetze momentan weitestgehend ausgenommen, obwohl auch die Unternehmen grundsätzlich ein Interesse daran haben, datenschutzrechtlich Einfluss auf unternehmensbezogene Angaben zu nehmen. Bislang schützt das BDSG nur Angaben über natürliche Personen, wenngleich innerhalb Europas durchaus unterschiedliche Regelungskonzepte existieren. Insoweit ist auch die Tendenz in der aufsichtsbehördlichen und wissenschaftlichen Diskussion beachtlich, künftig gänzlich auf das Merkmal des Personenbezugs zu verzichten und damit juristische und natürliche Personen gleichermaßen zu schützen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Daraus folge, so das BAG, dass ein Beschäftigter auch nach Beendigung des Arbeitsverhältnisses Einsicht in seine Personalakte nehmen dürfe.

Damit hatte die Revision des Klägers gegen das Urteil der Vorinstanz Erfolg (Landesarbeitsgericht München, Urteil vom 14. Januar 2009, Az.: 11 Sa 460/08).

Die Entscheidung liegt noch nicht im Volltext vor, das BAG hat aber eine Pressemitteilung in der Angelegenheit erlassen.

Darin heißt es:

“Der Kläger war bei der Beklagten, einem Versicherungsunternehmen, vom 1. Januar 2006 bis zum 30. Juni 2007 als Schadensbüroleiter beschäftigt. Die Beklagte führt die Personalakte des Klägers weiter. Nach Vertragsende teilte ihm eine Personalbearbeiterin im Rahmen einer Zeugnisauseinandersetzung mit, dass Gründe vorhanden seien, die auf seine mangelnde Loyalität schließen ließen. Der Kläger verlangt Einsicht in seine Personalakte. Die Beklagte verweigert dies mit Hinweis auf die Beendigung des Arbeitsverhältnisses. Die Vorinstanzen haben die Klage abgewiesen.

Die Revision des Klägers war vor dem Neunten Senat erfolgreich. Er verurteilte die Beklagte, dem Kläger Einsicht in seine Personalakte zu gewähren. Der Arbeitnehmer hat auch nach Beendigung des Arbeitsverhältnisses ein berechtigtes Interesse daran, den Inhalt seiner fortgeführten Personalakte auf ihren Wahrheitsgehalt zu überprüfen. Der Anspruch folgt allerdings nicht aus § 34 BDSG. Die dort geregelten Ansprüche auf Auskunft und Einsicht gelten noch nicht für nur in Papierform dokumentierte personenbezogene Daten. Zurzeit befindet sich ein entsprechendes Änderungsgesetz in der parlamentarischen Beratung.”

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Der Fall in Kürze

Um die Transparenz der Ausgaben im Rahmen der Gemeinsamen Agrarpolitik zu gewährleisten, veröffentlichen die Mitgliedstaaten der Europäischen Union jedes Jahr nachträglich Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER). Es werden die Beträge, die jeder Begünstigte aus diesen Fonds erhalten hat unter Nennung des Namens und des Wohnorts der Person oder Organisation, welche die Subvention erhalten hat, genannt.

Zwei Subventionsempfänger aus Hessen haben beim Verwaltungsgericht Wiesbaden beantragt, das Land Hessen zu verpflichten, die sie betreffenden Daten nicht zu veröffentlichen. Da das nationale Gericht in den Rechtsvorschriften der Europäischen Union über die Pflicht zur Veröffentlichung dieser Daten durch die Bundesanstalt einen nicht gerechtfertigten Eingriff in das Grundrecht auf Schutz der personenbezogenen Daten sieht, hat es den Gerichtshof ersucht, die Gültigkeit dieser Rechtsvorschriften zu prüfen.

Der Weg vor den Europäischen Gerichtshof

In einem Vorabentscheidungsersuchens können die einzelnen Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Union vorlegen. Während der Gerichtshof zwar nicht über den nationalen Rechtsstreit entscheidet, prüft dieser lediglich die angegriffene Rechtsvorschrift. Nach der Entscheidung des Gerichtshof entscheidet das nationale Gericht dann im Einklang mit dieser Entscheidung über den Rechtsstreit.

Die Entscheidung des Gerichts

Der EuGH hat erkannt, dass die Rechtsvorschriften der Europäischen Union über die Veröffentlichung von Informationen über die Empfänger von Mitteln aus den europäischen Landwirtschaftsfonds teilweise ungültig sind.

Der Leitsatz der Urteils lautet:

Die Verpflichtung zur Veröffentlichung der Namen natürlicher Personen, die Empfänger einer solchen Beihilfe sind, und der genauen Beträge, die sie erhalten haben, ist im Hinblick auf das Ziel der Transparenz eine unverhältnismäßige Maßnahme.

Gerichtshof wägt zwischen Achtung der Privatsphäre und dem Recht auf Transparenz des Steuerzahlers ab

Die Veröffentlichung von Daten mit den Namen der Empfänger und der genauen Beträge, die sie erhalten haben, auf einer Internetseite stellt, wie der Gerichtshof weiter ausführt, eine Verletzung des Rechts der betroffenen Empfänger auf Achtung ihres Privatlebens im Allgemeinen und auf Schutz ihrer personenbezogenen Daten im Besonderen dar. Eine solche Verletzung ist nur dann gerechtfertigt, wenn sie gesetzlich vorgesehen ist, den Wesensgehalt dieser Rechte achtet, erforderlich ist und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen entspricht. Ausnahmen und Einschränkungen sind auf das absolut Notwendige zu beschränken, soweit personenbezogene Daten betroffen sind.

Transparenz für den Steuerzahler über Datenschutzrecht: laut EuGH unverhältnismäßig

Wenn auch in einer demokratischen Gesellschaft die Steuerzahler einen Anspruch darauf haben, über die Verwendung der öffentlichen Gelder informiert zu werden, darf die Einschränkung des Datenschutzes der Bezügeempfänger nicht über das hinausgehen, was zur Erreichung der verfolgten berechtigten Ziele erforderlich ist. Damit sind im momentan geltenden Unionsrecht die Grenzen des Grundsatzes der Verhältnismäßigkeit überschritten. Insoweit erklärt der Gerichtshof daher bestimmte Vorschriften der Verordnung Nr. 1290/2005 und die Verordnung Nr. 259/2008 als Ganzes für ungültig.

Welche Auswirkungen hat das Urteil?

Damit dürfen die Empfänger von EU-Agrarsubventionen jedenfalls nicht mehr in der bisherigen Form veröffentlicht werden.

Was genau das Urteil nun für die Veröffentlichung von personenbezogenen Daten der Subventionsempfänger bedeutet, ist noch umstritten. Es muss geprüft werden, inwieweit die Transparenz der Kommissionsbeihilfen hinter dem Datenschutz der Betroffenen zurück bleiben muss. Ob dies letztlich bedeutet, dass die Daten nur anonymisiert veröffentlicht werden dürfen oder ob eine Veröffentlichung gänzlich ausscheidet, wird sich zeigen. Die Richter des EuGH haben bereits erkennen lassen, dass im Einzelfall das öffentliche Interesse gegenüber dem Datenschutz ein umso höheres Gewicht bekommt, je höher die Beihilfen sind und je häufiger sie ausgezahlt werden. Daneben wurde festgestellt, dass alle bisherigen Veröffentlichungen nicht in Frage zu stellen sind, sondern dass die Ungültigkeit der Bestimmungen erst ab der Verkündung des Urteils Geltung erlangen soll.

Fazit

Der Europäische Gerichtshof hat damit ein Urteil zu Gunsten des Datenschutzes gefällt. Wie letztlich eine genaue Abwägung zwischen den betroffenen Rechten erfolgen muss, bleibt einer genaueren Prüfung vorbehalten. Wir sind gespannt, ob und wie die EU das Urteil zum Anlass nehmen wird, den Datenschutz im Bereich der Veröffentlichung von Subventionszahlungen auch gesetzlich klarzustellen.

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Wie stellt sich die datenschutzrechtliche Lage derzeit dar?

Unternehmen und in verstärktem Maße auch Behörden sowie andere öffentliche Stellen publizieren Daten ihrer Beschäftigten (z.B. Namen, Arbeitsgebiet, Kontaktdaten) im Internet. Dabei besteht oftmals Unsicherheit darüber, welche Daten ihrer Beschäftigten das Unternehmen veröffentlichen kann bzw. welche Veröffentlichung der betroffene Beschäftigte dulden muss.

Die Zulässigkeit der Datennutzung richtet sich bei Unternehmen und der Bundesverwaltung grundsätzlich nach den Vorschriften des Bundesdatenschutzgesetzes („BDSG“) und bei der Landesverwaltung nach den jeweiligen Datenschutzbestimmungen der Länder. Abgesehen von den Ausnahmefällen, in denen gesetzliche z.B. gesellschaftsrechtliche Publikationspflichten bestehen, ist die Veröffentlichung personenbezogener Daten der Beschäftigten nur in engen Grenzen zulässig.

Darüberhinausgehende Informationen sind zustimmungsbedürftig und bedürfen der Einwilligung des betroffenen Beschäftigten. Dies gilt vor allem deshalb, weil die Informationen mit der Veröffentlichung im Internet weltweit abrufbar sind. Es lässt sich daher auch nicht ohne weiteres von der Befugnis zur Publikation personenbezogener Daten in einem Printmedium mit einen u.U. beschränkten Empfänger- und Leserkreis auf die Befugnis zur weitreichenden Internetveröffentlichung schließen.

Erfüllung einer Pflicht aus dem Arbeitsvertrag

Aus den vorgenannten Gründen ist deshalb fraglich, wann die Veröffentlichung von personenbezogenen Daten der Beschäftigten eines Unternehmens oder einer öffentlichen Einrichtung im Internet aus Gründen der Erfüllung arbeitsvertraglicher Pflichten zulässig sein kann. Die Veröffentlichung personenbezogener Daten ist zum Beispiel dann zulässig, wenn die Veröffentlichung in Zusammenhang mit der ausgeübten Tätigkeit und somit in Erfüllung der Arbeitspflicht erfolgt.

So müssen Beschäftigte, die nach außen für das Unternehmen auftreten (Beschäftigte im Außendienst, Kundendienst, Beratung, Beschwerdemanagement etc.) die Veröffentlichung ihrer Kontaktdaten auch im Internet hinnehmen. Daneben können auch Aspekte der Repräsentation des Unternehmens durch die Beschäftigten eine Rolle spielen. Angenommen werden kann dies zum Beispiel bei einem hohen Bekanntheitsgrad des Beschäftigten oder bei besonders nachgewiesener Fachkompetenz im jeweiligen Arbeitsfeld (Forschungsergebnisse- oder -preise). Im Bereich der öffentlichen Verwaltung kommt es ebenfalls darauf an, ob die jeweiligen Behördenmitarbeiter als Amtswalter nach außen tätig werden und Ansprechpartner für Bürger und Unternehmen sind. Dagegen ist die Veröffentlichung ganzer Telefonverzeichnissen von Behördenmitarbeitern nicht zulässig.

Einwilligung des Betroffenen

Sofern eine Erlaubnisnorm zur Veröffentlichung der Daten des Arbeitnehmers im Internet nicht zur Verfügung steht, ist diese nur zulässig, wenn der Betroffene sein Einverständnis zur Verarbeitung seiner Daten erteilt (Einwilligung). Voraussetzung dafür ist, dass dem Betroffenen hinreichende Informationen über die Art der vorgesehenen Datenverarbeitung und ihren Zweck zugänglich gemacht werden (Grundsatz der „informierten Einwilligung“).

Eine Erklärung dergestalt, dass in jede Form der Datenverarbeitung eingewilligt wird, reicht nicht aus. Gerade im Arbeitsverhältnis ist die Einwilligung eine problematische Grundlage, da fraglich sein kann, ob die Einwilligung des Beschäftigten gänzlich ohne „Zwang“ erfolgen und der Beschäftigte die Zustimmung damit sanktionslos verweigern kann, denn gemäß § 4a Abs. 1 BDSG muss die Einwilligung auf „der freien Entscheidung des Betroffenen“ beruhen.

Veröffentlichung von Bildern der Beschäftigten

Nicht von der oben erläuterten beschränkten Befugnis zur Veröffentlichung umfasst sind Fotographien des Beschäftigten auf der unternehmenseigenen Webpräsenz. Möchte der Arbeitgeber Fotos seiner Beschäftigten im Internet veröffentlichen ist nämlich überdies § 22 Kunsturhebergesetz (“KUG”) zu beachten. Danach dürfen Bildnisse „nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden“. Von einer Zurschaustellung ist bei der unkörperlichen Darstellung des Bildes im Internet auszugehen. Daneben kann es sich bei Fotographien auch um so genannte besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG handeln, welche nach den Vorgaben des BDSG teilweise noch stärker geschützt werden.

Öffentlich dargestellt ist das Bildnis dann, wenn es jedermann und nicht nur der geschlossenen Benutzergruppe eines firmeneigenen Intranets zugänglich ist. Zur Veröffentlichung des Bildes ist in jedem Fall die Einwilligung des betreffenden Beschäftigten notwendig. Dabei ist zu beachten, dass durch die Einstellung des Bildes im Regelfall ein personenbezogenes Datum verarbeitet wird, die Einwilligung deshalb auch an den Anforderungen des § 4a BDSG zu messen ist. Die Einwilligung in die Veröffentlichung gilt auch nach der Auflösung des Arbeitsverhältnisses und muss vom Arbeitnehmer ggfs. gesondert widerrufen werden (LAG Köln, Beschluss vom 10.7.2009, Az. 7 Ta 126/09).

Widerruflichkeit der Einwilligung

Grundsätzlich kann die Einwilligung zur Veröffentlichung jederzeit widerrufen werden. Ausnahmen davon ergeben sich nur dann, wenn die Veröffentlichung des Bildes Bestandteil des Arbeitsvertrags ist. Hier hat der Beschäftigte der Publikation als Bestandteil der arbeitsvertraglichen Pflicht zugestimmt. Ggfs. kann auch die Natur des Arbeitsverhältnisses einer freien Widerruflichkeit entgegenstehen. Anzunehmen ist dies zum Beispiel in Arbeitsverhältnissen, bei denen die Arbeitnehmer in der Öffentlichkeit stehen (Schauspieler, Model, Tätigkeit beim Fernsehen etc.).

Auch Urheberrechte sind zu beachten

Im Zusammenhang mit der Veröffentlichung von Bildnissen wird oft vergessen, dass neben der Zustimmung des Abgebildeten jeweils auch die Zustimmung des Fotografen eingeholt werden muss. Letzterem stehen als Urheber der Fotographie die urheberrechtlichen Nutzungs- und Verwertungsrechte des § 72 Abs. 1 Urhebergesetz (“UrhG”) zu. Die Verbreitung des Bildes im Internet stellt eine zustimmungsbedürftige Verbreitungs- und Vervielfältigungshandlung dar, welche – sofern eine Zustimmung ggf. auch nicht konkludent erteilt wurde – einen Unterlassungs- und Schadensersatzanspruch des Urhebers auslöst.

Fazit

Bei der Veröffentlichung von personenbezogenen Daten der Beschäftigten im Internet ist Vorsicht geboten. Beschäftigte, die nach außen für das Unternehmen auftreten (Beschäftigte im Außendienst, Kundendienst, Beratung, Beschwerdemanagement etc.), müssen die Veröffentlichung ihrer Kontaktdaten im Internet grundsätzlich hinnehmen. Unternehmern sei geraten, in Zweifelsfällen die Einwilligung der Beschäftigen einzuholen. Insbesondere gilt dies, wenn auch die Veröffentlichung von Fotographien der Beschäftigten gewünscht ist.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Ass. iur. Benjamin Schuetze, LL.M. (Wellington)

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Warum ist eine Einwilligungserklärung nötig?

Grundsätzlich ist der Versand von Werbe-E-Mails als Nutzung personenbezogener Daten im Sinne von § 3 Abs. 5 des Bundesdatenschutzgesetzes (BDSG) zu bewerten. Diese darf nach der Systematik des Datenschutzrechts nur mit der Einwilligung des Betroffenen oder aufgrund des Vorliegens einer einschlägigen Rechtsgrundlage erfolgen. Im Bereich des Direktmarketings, insbesondere hinsichtlich der Versendung von Werbe-E-Mails, besteht weitgehend Einigkeit darüber, dass dies nur durch das Vorliegen einer Einwilligung des Betroffenen gerechtfertigt werden kann.

Die Einwilligung im Datenschutzrecht

§ 4a Abs. 1 BDSG behandelt die Einwilligung und legt fest, welchen Anforderungen eine wirksame Erklärung zu genügen hat:

„Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.“

Wenn eine wirksame Einwilligung nicht vorliegt und dennoch Werbe-E-Mails versendet werden, so stellen sich neben den datenschutzrechtlichen Besonderheiten insbesondere auch wettbewerbsrechtliche Probleme, die im Folgenden besprochen werden sollen.

Umgang mit Spam-E-Mails

Die automatisierte Datenverarbeitung ermöglicht es ohne großen zeitlichen Aufwand, Werbung an eine Vielzahl von Empfängern zu versenden. Die meisten Verwender gehen dabei flächendeckend vor, so dass die Werbung keinerlei Bezug zur Mehrzahl der Adressaten aufweist und deshalb als störend empfunden werden kann. Unerwünschte E-Mail-Werbung („Spam“) als Problem der Informationsgesellschaft fand Beachtung beim Erlass der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).

Art. 13 der Richtlinie beschäftigt sich mit unerbetenen Nachrichten und verfolgt das Ziel, Verbraucher vor solcher Werbung, in deren Empfang er nicht ausdrücklich und bewusst eingewilligt hat, zu schützen.

Verschärfung der Rechtslage durch UWG-Novelle 2004

Die Vorgaben der Richtlinie wurden in Deutschland in der Neufassung des Gesetzes gegen den unlauteren Wettbewerb (UWG) 2004 umgesetzt. § 7 UWG lautet in Auszügen wie folgt:

„(1) 1 Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung […]

(2) Eine unzumutbare Belästigung ist stets anzunehmen

[…]

3. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post (Hervorhebung durch Verfasser), ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, […].“

E-Mail-Werbung und Spam

Wichtig ist, zwischen zulässiger und unzulässiger E-Mail-Werbung zu unterscheiden. Denn das Zusenden von Werbung per E-Mail ist nicht automatisch „Spam“ bzw. eine „unzumutbare Belästigung“ im Sinne von § 7 UWG. Insbesondere ist der Tatbestand dann nicht erfüllt, wenn eine wirksame Einwilligung des Empfängers vorliegt.

Unterlassungsanspruch bei Verstoß

Gemäß § 8 UWG kann, wer § 7 UWG zuwiderhandelt, auf Unterlassung in Anspruch genommen werden. Entsprechendes war im vorliegenden Fall eingeklagt worden.

Fragwürdige Einwilligungsklauseln

Die Einwilligungsklauseln, deren Wirksamkeit in Frage stand, lauteten folgendermaßen:

„… erklärt sein Einverständnis, dass … wie alle Teilnehmer touristische und nicht touristische Werbung von uns und unseren Partnern erhält.“

„ … nur von uns und unseren Geschäftspartnern für die Zusendung des 14-täglichen, kostenlosen Newsletters sowie von Verbrauchern-Tipps und Markt-Information per E-Mail genutzt. Durch Absenden ihrer Daten erklären sie hierfür ihr ausdrückliches Einverständnis.“

AGB-Vorschriften sind anwendbar

Die Unwirksamkeit der Klauseln leitete das Gericht aus dem Recht der Allgemeinen Geschäftsbedingungen her. Dieses findet sich im Bürgerlichen Gesetzbuch (BGB) in den Normen §§ 305 ff BGB. Grundsätzlich finden diese Bestimmungen nur auf Vertragsbedingungen Anwendung. Eine Einwilligung ist hingegen eine bloß einseitige Erklärung und damit gerade kein Vertrag. Der BGH ging aber in seiner Entscheidung „Telefonwerbung VI“ aus dem Jahr 1999 davon aus, dass der Verwender einer vorformulierten Einwilligung, die vom Einwilligenden nur noch gebilligt werden muss, in gleicher Weise rechtsgeschäftliche Gestaltungsfreiheit für sich in Anspruch nimmt, wie es bei Vertragsbedingungen der Fall ist. Das Gegenüber kann in beiden Fällen keinen Einfluss auf den Inhalt nehmen. Im Wesentlichen kommt es für die Anwendung des AGB-Rechts als Verbraucherschutzrecht also auf die Vorformulierung der Bestimmungen an und nicht auf die Art der rechtsgeschäftlichen Erklärung, mit der sie in Verbindung stehen.

Inhaltskontrolle

Konsequenz aus der Anwendbarkeit der AGB-Regeln ist, dass die vorformulierten Bestimmungen nach § 307 Abs. 1 S. 2 BGB einer Inhaltskontrolle standhalten müssen. Wirksamkeitsvoraussetzung ist nach dem Gesetzeswortlaut insbesondere, dass die Klauseln „klar und verständlich“ abgefasst sein müssen (sog. „Transparenzgebot“).

Verstoß gegen Transparenzgebot

Das Gericht sah durch die Weite und Konturlosigkeit der fraglichen Klauseln einen Verstoß gegen das AGB-rechtliche Transparenzgebot begründet. Es führte hierzu aus:

„… dass die Annahme einer rechtfertigenden, im Rahmen einer vorformulierten Erklärung erteilten Einwilligung voraussetzt, dass der Erklärende überhaupt erkennen kann, an wen die personenbezogenen Daten übermittelt werden sollen, zu welchen Zwecken die Daten von Dritten genutzt werden sollen und in welchem Umfang. Nur bei Kenntnis dieser Umstände kann von einer bewussten – und damit „informierten“ – Einwilligung gesprochen werden.“ (Rn. 32 der Entscheidung)

Gericht kritisierte Konturlosigkeit

Im Ergebnis werde mit beiden Klauseln – mit letzterer etwas weniger offensichtlich – versucht, „die Übersendung jeglicher Art von Werbung durch jedermann zu rechtfertigen.“ Eine Eingrenzung auf bestimmte Inhalte, einen bestimmten Zeitraum oder einen bestimmten Personenkreis findet nicht statt. Bei dieser Weite und Unbestimmtheit ist es dem Einwilligenden nicht möglich, zu erkennen durch wen seine personenbezogenen Daten zu welchem Zweck aufgrund seiner Einwilligung verwendet werden dürfen.

Verbraucherbild des Gesetz- und Richtliniengebers

Das europäische Richtlinienrecht, und somit auch das davon herrührende deutsche Verbraucherschutzrecht, geht vom Leitbild eines schutzbedürftigen Verbrauchers aus. Dessen regelmäßig schwächere Verhandlungsposition ist auszugleichen. Es ist also nicht nur zu untersuchen, ob er überhaupt in der Lage ist, die für ihn richtige Entscheidung zu treffen, sondern vor allem auch, ob er sich, ohne Einbußen davonzutragen, dieser Entscheidung entsprechend verhalten kann.

Problematisch: Einwilligung unverzichtbar für Teilnahme an Gewinnspiel

Obwohl dies häufig geschieht, ist eine Verknüpfung von Einwilligung und Inanspruchnahme des Angebots, etwa eines Gewinnspiels, nicht zulässig. Die Einwilligung würde dann nicht, wie in Art. 2 lit. h) der Datenschutzrichtlinie gefordert, „ohne Zwang“ erfolgen. Auch § 4a BDSG verlangt, dass eine wirksame Einwilligung auf der „freien Entscheidung“ des Betroffenen beruhen muss. Die Entscheidungsfreiheit ist aber in dem Moment zumindest eingeschränkt, in dem mit ihrer Ausübung der völlige Verzicht auf eine Teilnahme oder aber eine Minderung der Gewinnchancen verbunden wären.

Widerrufsmöglichkeit existiert nur theoretisch

Auch der Einwand, es bestünde eine jederzeitige Widerrufsmöglichkeit, überzeugte das Gericht nicht. Sei diese doch praktisch schwer zu verwirklichen. Zum einen erhält der Verbraucher keinerlei schriftliche Dokumentation über die erteilte Einwilligung. Zum anderen wird er Werbe-E-Mails, die er in gewissem zeitlichen Abstand von Dritten erhält nicht auf die Einwilligungserteilung in Verbindung mit der Teilnahme am Gewinnspiel zurückführen können.

Konkrete, einzelfallbezogene Einwilligung erforderlich

Eine generelle Einwilligung ist nicht ausreichend, um eine „unzumutbare Belästigung“ gem. § 7 UWG im jeweiligen Einzelfall auszuschließen. Vielmehr muss sich die Einwilligung, auf die sich der Belästigende beruft, auf den konkreten Fall bezogen sein (so auch LG Stuttgart, Urteil vom 15.05.2007, Az. 17 O 490/06).

Darlegungs- und Beweislast beim Verwender

Liegt keine wirksame Einwilligung vor, sind die Voraussetzungen des § 7 Abs. 2 Nr. 3 UWG nicht erfüllt. Das Vorliegen einer (wirksamen) Einwilligung ist ein für den Versender von E-Mail-Werbung günstiger, weil sein Verhalten legitimierender Umstand. Dafür, dass sie erteilt wurde, ist dieser damit darlegungs- und beweisführungspflichtig.

Screenshots und Dummies reichen nicht aus

Der Beweis für das Vorliegen einer Einwilligung ist in Bezug auf den konkreten Fall und die konkrete Person zu erbringen. Es ist nicht ausreichend, nur anhand von Screenshots oder „Dummies“ zu zeigen wie eine Einwilligung im Allgemeinen zustande kommt.

Dokumentation der Einwilligung im eigenen Interesse

Eine Dokumentation der Einwilligungserteilung durch jeden einzelnen Teilnehmer sollte im eigenen Interesse des Anbieters erfolgen. Denn sowohl er als auch Dritte können damit eine Weiterverwendung der Daten vor Gericht rechtfertigen.

Fazit

Um eine Einwilligung wirksam zu gestalten, sind begriffliche Einschränkungen in inhaltlicher, zeitlicher und personeller Hinsicht notwendig. Der Verfasser hat sich am Leitbild der „bewussten und informierten Einwilligung“ zu orientieren und sich zu fragen, ob der Einwilligende aus der Klausel erfahren kann, wer seine personenbezogenen Daten zu welchem Zweck verwendet. Um im Streitfall beweisen zu können, dass der Betroffene auch tatsächlich eingewilligt hat, ist eine Dokumentation jeder einzelnen Erklärung notwendig.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessorin Alma Lena Fritz
Karola Berger (Jurist (univ.)).

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Zum Sachverhalt

Der Antragsteller hatte Beschwerde eingereicht, da eine Bank Daten über eine rechtskräftig festgestellte Forderung des Antragstellers an die Schufa übertragen hatte. Der Antragsteller brachte vor, dass er diesbezüglich keine Einwilligungserklärung erteilt habe und insoweit die Datenübermittlung und Datenspeicherung nicht rechtmäßig sei. Das Gericht gab seiner Beschwerde nicht statt, da der Antragssteller entweder in die Datenverarbeitung rechtswirksam eingewilligt habe oder die Datenverarbeitung alternativ gemäß § 28 BDSG legitimiert gewesen sei. Es argumentiert in den hier kurz zu besprechenden Passagen wie folgt:

1) Es kann nicht festgestellt werden, dass die Einwilligungserklärung des Antragstellers nach den Anforderungen von § 4a Abs. 1 BDSG unwirksam ist. Denn es liegt nur S. 1 des Kreditvertrages vor, der hervorgehoben durch Fettdruck vor den Einzelangaben zu dem Vertrag eine Einwilligungserklärung nach Maßgabe eines umseitig abgedruckten Textes enthält, der aber nicht vorliegt. Es ist deshalb nicht ersichtlich, dass die Einwilligungserklärung entgegen dem Normzweck des § 4a I 4 BDSG im sogenannten Kleingedruckten versteckt wurde und der Antragsteller die Einwilligung durch seine Unterschrift erteilt, ohne sich ihrer und ihres Bezugsgegenstandes bewusst zu sein, weil er sie übersieht.

Und weiter:

2) Selbst wenn die Einwilligungserklärung des Antragstellers unwirksam wäre, wäre die Datenübermittlung nach § 28 Abs. 1 Nr. 2 BDSG zulässig.

Zur Begründung des Gerichts:

Zum einen wird das Vorliegen einer Einwilligungserklärung nach der Argumentation des Gerichtes in die Beweislast des Antragsstellers gestellt. Das Vorliegen einer Einwilligungserklärung ist jedoch an sich durch die datenverarbeitende Stelle nachzuweisen.

Daneben bleibt offen, warum ein Widerspruch des Antragsgegners nicht diskutiert wird (Einwilligungserklärungen im Sinne des § 4 a BDSG sind per se widerruflich). Hat dieser (wenn er eine “versteckte” Einwilligungserklärung erteilt hat, wie er vorträgt) insoweit nicht vorgetragen?

Auch ist das oben unter 2) aufgeführte Argument des OLG Frankfurt zu diskutieren. Das Verhältnis zwischen Einwilligung und Rechtsgrundlage für die Datenverarbeitung ist in der Literatur umstritten. Die wohl inzwischen herrschende Ansicht in der Literatur geht davon aus, dass eine eingeholte Einwilligung eine bestehende Rechtsgrundlage verdränge. Nur so könne verhindert werden, dass für jeden Datenverarbeitungsvorgang eine Einwilligungserklärung eingeholt wird, um letztlich die Verarbeitung dann auf eine Rechtsgrundlage zu stützen. Dem Betroffenen würde ansonsten eine informationelle Entscheidungsfreiheit vorgespielt, die tatsächlich gar nicht besteht. In diesem Punkt vertritt das OLG Frankfurt eine andere Rechtsauffassung.

Zum vollständigen Beschluss des OLG Frankfurt gelangen Sie hier.

Autor:
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Der Fall in Kürze

Der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen hatte von einem Beschäftigten des klagenden Unternehmens eine E-Mail mit dem Betreff „Videoüberwachung am Arbeitsplatz“ erhalten. Darin schilderte er, dass an seinem Arbeitsplatz eine ständige Überwachung mit zahlreichen Kameras erfolgte, ohne dass die Mitarbeiter darüber informiert worden wären.

Eine akustische Überwachung und Aufzeichnung der Daten wollte er nicht ausschließen. Mit dem Hinweis, dass bislang aus Furcht vor Verlust des Arbeitsplatzes von niemandem etwas unternommen worden war und der Bitte, den Hinweis vertraulich zu behandeln, endete die Mitteilung.

Nachdem die Behörde das betreffende Unternehmen aufgefordert hatte, Auskunft zu den beschriebenen Vorgängen zu erteilen, verlangte dieses zunächst Akteneinsicht. Dem Verlangen kam die Aufsichtsbehörde nur teilweise nach. Die übersandten Unterlagen enthielten insbesondere keine Wiedergabe der E-Mail des Informanten. Außerdem war der Name des hinweisgebenden Beschäftigten in den übrigen Unterlagen geschwärzt. Beim Verwaltungsgericht Bremen wurde daraufhin durch das Unternehmen vollumfängliche Akteneinsicht bzw. Preisgabe des Namens des Informanten eingeklagt. Die Aufsichtsbehörde lehnte dies – aus Gründen des Informantenschutzes – ab und beantragte Klageabweisung.

Schutz von Informanten im Interesse des Datenschutzes

Dass mit Kenntniserlangung des Arbeitgebers von der Identität des Informanten negative Konsequenzen verbunden wären, liegt auf der Hand. Der Schutz von Informanten erfolgt aber nicht allein in deren Interesse, sondern auch um dem Datenschutzrecht zur Durchsetzung zu verhelfen. § 4f Abs. 5 S. 2 Bundesdatenschutzgesetz (“BDSG”) sieht beispielsweise vor, dass sich jeder Betroffene an den unternehmenseigenen Datenschutzbeauftragten wenden kann. Gemäß § 4f Abs. 4 BDSG ist dieser dann zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

Mitteilung muss für den Betroffenen risikofrei sein

Die Mitteilung darf für den Betroffenen in jedem Fall nicht mit einem Risiko verbunden sein. Müssten betroffene Beschäftigte etwa um ihren Arbeitsplatz fürchten, wenn sie sich an den Datenschutzbeauftragten oder die Aufsichtsbehörde wenden, blieben Missstände im Verborgenen.

Schutzbedürfnis besteht über die Dauer des Arbeitsverhältnisses hinaus

Besonders betont die Entscheidung, dass ein Schutzbedürfnis auch über die Dauer des Arbeitsverhältnisses hinaus bestehen kann. Selbst dann könne der Arbeitgeber noch Druck ausüben. Daneben droht natürlich gleichzeitig eine Rufschädigung, die sich insbesondere in kleinen Branchen sehr zum Nachteil des Betroffenen auswirken könnte.

Betroffene sind zu unterrichten

Neben der Identität des Informanten waren die Kläger auch daran interessiert, dass Dritte, insbesondere die von der Überwachungsmaßnahme betroffenen Beschäftigten, von der Überwachungsmaßnahme keine Kenntnis erlangen. Diesem Begehren stattzugeben sah sich das Gericht außer Stande, weil dies unvereinbar mit § 38 Abs. 1 S. 6 BDSG sei.

Hiernach ist die Aufsichtsbehörde befugt, bei Feststellung eines Datenschutzrechtsverstoßes, die davon Betroffenen darüber zu unterrichten. Das Gericht teilte die Ansicht der hierüber im Eilverfahren vorab entscheidenden Kammer, dass Verstöße gegen datenschutzrechtliche Bestimmungen vorliegen würden.

Grenze für Schutzbedürftigkeit: strafbares Verhalten

Nur wer wider besseres Wissen und nur um seinem Arbeitgeber zu schaden, Datenschutzrechtsverstöße behauptet, muss grundsätzlich damit rechnen, dass diesem seine Identität mitgeteilt wird. Daneben ist auch der Verrat von Betriebs- und Geschäftsgeheimnissen nach § 17 des Gesetzes gegen den unlauteren Wettbewerb (“UWG”) untersagt.

Entscheidung ist durchaus interessant für Arbeitgeber

Für Arbeitgeber ist die Entscheidung insofern interessant, als sie ausdrücklich auf die unternehmensrelevanten Vorschriften des BDSG hinweist. Angefangen von der Bestellung eines Datenschutzbeauftragten nach § 4f BDSG bis hin zur Meldepflicht für automatisierte Datenverarbeitungen nach §§ 4d, 4e BDSG hat es der Arbeitgeber selbst in der Hand für einen Betriebsablauf zu sorgen, der im Einklang mit dem Datenschutzrecht steht.

Fazit

Die Datenschutz-Aufsichtsbehörden haben die Identität von Informanten zu schützen. Arbeitgeber haben nach der Entscheidung grundsätzlich keinen Anspruch in Erfahrung zu bringen, welcher Beschäftigte sich vertraulich an die Aufsichtsbehörde gewandt hat. Eine Grenze bildet strafrechtlich relevantes Verhalten des Beschäftigten. Um derartige Streitigkeiten und die Konsequenzen aufsichtsrechtlichen Einschreitens zu vermeiden sollten Unternehmen nach Möglichkeit im Vorfeld für eine datenschutzkonforme Unternehmensorganisation sorgen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz
Karola Berger, Jurist (univ.)

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Hintergrund: Erlaubnis privater Nutzung

Erlaubt der Arbeitgeber seinen Beschäftigten die Nutzung des betrieblichen E-Mail Zugangs zu privaten Zwecken, wird er damit zu einem geschäftsmäßigen Anbieter von Telekommunikationsdienstleistungen. Das Telekommunikationsgesetz („TKG“) richtet sich nicht nur an Telekommunikationskonzerne als „klassische“ Anbieter von Telekommunikationsdienstleistungen, sondern erfasst auch betriebliche Telekommunikationsanlagen. Diese Möglichkeit wurde vom Gesetzgeber bewusst offengelassen, denn der Anbieter muss weder die Absicht haben mit dem Angebot von Telekommunikationsdiensten „Geld zu verdienen“ (Gewinnererzielungsabsicht – § 3 Nr. 10 TKG), noch muss sich das Angebot an die Allgemeinheit richten sondern kann auch gegenüber einer geschlossenen Benutzergruppe (Belegschaft im betrieblichen Kommunikationsnetz) erbracht werden.

Das Problem: Erlaubnis aufgrund Duldung

Der Arbeitgeber muss nach herrschender Meinung aber nicht einmal explizit die private Nutzung erlauben: es reicht aus, wenn er die auch private Nutzung des E-Mail Zugangs duldet und Verstöße nicht rechtzeitig sanktioniert. Das heißt ganz praktisch: nur das tatsächlich kontrollierte und sanktionierte Verbot privater E-Mail Nutzung schützt den Arbeitgeber wirklich davor, als „Anbieter von Telekommunikationsdienstleistungen“ eingeordnet werden zu können.

Rechtsfolge: Arbeitgeber als „Anbieter von Telekommunikationsdienstleistungen“

Folge der Einordnung des Arbeitgebers als „Anbieter von Telekommunikationsdienstleistungen“ und damit der Anwendbarkeit des TKG ist, dass dieser den Verpflichtungen zum Schutz des Fernmeldegeheimnisses gemäß § 88 TKG unterliegt. Verbindungs- und Inhaltsdaten, die bei der betrieblichen E-Mail Kommunikation anfallen, dürfen nur in den im TKG ausdrücklich geregelten Fällen (Entgeltermittlung § 97 TKG; Störung und Missbrauch von Telekommunikationsdiensten § 100 TKG) erhoben und ansonsten nicht überwacht werden. Insbesondere darf nicht auf andere einfachgesetzliche Erlaubnisnormen z.B. des Bundesdatenschutzgesetzes („BDSG“) zurückgegriffen werden.

Das heißt konkret: Einschränkung von Kontrollmöglichkeiten

Das Fernmeldegeheimnis oder Telekommunikationsgeheimnis statuiert ein Verbot des „unbefugten Abhörens, Unterdrückens, Verwertens oder Entstellens, von Fernmelde- Botschaften und ist grundgesetzlich geschützt (Art. 10 Grundgesetz). Legaldefiniert ist das Fernmeldegeheimnis in § 88 Abs. 1 TKG, wonach von diesem „der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war“, geschützt wird.

Das Bundesverfassungsgericht hat sich 2006 in einer Grundsatzentscheidung zum Anwendungsbereich des Fernmeldegeheimnisses geäußert. Danach soll das Fernmeldegeheimnis die Vertraulichkeit der „privaten“ Fernkommunikation gewährleisten, weil die am Kommunikationsvorgang Beteiligten wegen der räumlichen Distanz auf die Hilfe eines Dritten (Telekommunikationsunternehmen) bei der Datenübermittlung angewiesen sind. Geschützt ist neben per Telefon übertragener Kommunikation auch die Datenübertragung per E-Mail. Das Fernmeldegeheimnis schützt nur vor spezifischen Gefahren, die in Zusammenhang mit dem Übertragungsvorgang stehen. Der Schutzbereich reicht daher nur soweit die Nachricht noch nicht beim Empfänger angekommen ist und damit der Übertragungsvorgang abgeschlossen ist. Sobald nämlich die Nachricht im „Machtbereich“ des Empfängers angelangt ist, kann dieser selbst geeignete Schutzmaßnahmen treffen um den Zugriff von Unbefugten zu verhindern. Zudem können per E-Mail empfangene Dateien gar nicht oder nur sehr schwer von selbst erstellten Dateien unterschieden werden.

Konkret für E-Mails: Auslegung des Begriffs „Herrschaftsbereich des Empfängers“

Bei der Versendung von privaten E-Mails am Arbeitsplatz ist fraglich ab welchem Zeitpunkt die Nachricht im Herrschaftsbereich des Empfängers angelangt ist. Kann man davon bereits ausgehen, wenn die Nachricht auf dem Server des Arbeitgebers angelangt ist, weil ja der jeweilige Angestellte ab diesem Zeitpunkt die weitere Verwendung der E-Mail beeinflussen kann oder soll es darauf ankommen ob die Nachricht auf dem individuell genutzten PC des Beschäftigten eingegangen ist?

BVerfG: E-Mail Postfach ist geschützt

In einer Entscheidung aus dem Jahre 2009 hat der Bundesgerichtshof („BGH“) zudem ausgeführt, dass der vom Fernmeldegeheimnis geschützte Telekommunikationsvorgang auch dann als abgeschlossen zu betrachten sei, wenn die betreffende E-Mail beim Webmail Provider gespeichert ist. Der Schutz des Fernmeldegeheimnisses würde dadurch erheblich beschränkt, da die E-Mails zumeist auf zentralen Servern gespeichert sind. Die Server können mitunter sehr weit vom lokalen Netzwerkanschluss des Beschäftigten entfernt sein.

Diesem Ansatz des BGH hat das Bundesverfassungsgericht allerdings in einem Beschluss vom 16. Juni 2009, bei dem es um die Beschlagnahmung von E-Mails durch die Strafverfolgungsbehörden ging, widersprochen und stellte klar:

„Der zugangsgesicherte Kommunikationsinhalt in einem E Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, ist durch das Fernmeldegeheimnis (Art. 10 Abs. 1 GG) geschützt. Der Kommunikationsteilnehmer hat keine technische Möglichkeit, die Weitergabe der E-Mails durch den Provider an Dritte zu verhindern. Dieser technisch bedingte Mangel an Beherrschbarkeit begründet die  besondere Schutzbedürftigkeit durch das Fernmeldegeheimnis, welches  jenen Gefahren für die Vertraulichkeit begegnen will, die sich aus der  Verwendung eines Kommunikationsmediums ergeben, das einem staatlichem Zugriff leichter ausgesetzt ist als die direkte Kommunikation unter Anwesenden.

Dies gilt unabhängig davon, ob eine E-Mail auf dem Mailserver des Providers zwischen- oder endgespeichert ist. Dem Schutz durch Art. 10 Abs. 1 GG steht nicht entgegen, dass während der Zeitspanne, während deren die E-Mails auf dem Mailserver des Providers „ruhen“, ein Telekommunikationsvorgang in einem dynamischen Sinne nicht stattfindet. Art. 10 Abs. 1 GG folgt nicht dem rein technischen Telekommunikationsbegriff des Telekommunikationsgesetzes, sondern knüpft an den Grundrechtsträger und dessen Schutzbedürftigkeit aufgrund der Einschaltung Dritter in den Kommunikationsvorgang an. Die spezifische Gefährdungslage und der Zweck der Freiheitsverbürgung von Art. 10 Abs. 1 GG bestehen auch dann weiter, wenn die E-Mails nach Kenntnisnahme beim Provider gespeichert bleiben. […] Die Auslagerung der E-Mails auf den nicht im Herrschaftsbereich des Nutzers liegenden Mailserver des Providers bedeutet nicht, dass der Nutzer mit dem Zugriff auf diese Daten durch Dritte einverstanden ist (Beschluss vom 16. Juni 2009, 2 BvR 902/06).“

Zwar hatte das Bundesverfassungsgericht vorliegend über einen Fall mit strafprozessualem Einschlag zu entscheiden. Eine ähnliche Gefahrenlage für die (gestattete) private E-Mail Kommunikation des Arbeitnehmers ergibt sich jedoch gleichwohl, sodass die vom Bundesverfassungsgericht aufgestellten Grundsätze ebenfalls gelten müssen.

Teilweise wird nach der Art des eingesetzten E-Mail Systems (POP3- oder IMAP-Verfahren) unterschieden. Bei einer POP3 Anwendung, wo die E-Mails beim Abruf durch den E-Mail Client (MS Outlook, Mozilla Thunderbird, etc.) vom Server im Regelfall automatisch gelöscht und nur lokal gespeichert werden, unterfallen diese E-Mails nach herrschender Meinung nicht mehr dem Schutz des Fernmeldegeheimnisses. Im Gegensatz dazu wird bei Verwendung des IMAP-Protokolls lediglich eine Kopie der auf dem Server gespeicherten Nachricht angefertigt.

IMAP-Postfach: Fernmeldegeheimnis?

Daraus folgt teilweise die – umstrittene – Ansicht, dass per IMAP weiterhin auf dem Server gespeicherte E-Mail ebenfalls nicht mehr dem Fernmeldegeheimnis unterfallen, denn der E-Mail-Empfänger habe sich ja bewusst dazu entschieden die E-Mail im „Machtbereich“ des Arbeitgebers zu belassen anstatt vom Server zu löschen. Dagegen spricht nicht nur, dass ein bloßes passives „zur Kenntnis nehmen“ nicht mit einer aktiven Handlung (E-Mail löschen, verschieben etc.) gleichgesetzt werden kann, sondern auch der mit IMAP verbundene Sicherheitsaspekt. Sinn der grundsätzlich dauerhaften Speicherung der E-Mails auf dem Posteingangsserver ist, dass diese auch im Fall eines Computerabsturzes weiterhin verfügbar sind und zudem die Bearbeitung von E-Mail ggf. nicht auf einen PC Arbeitsplatz beschränkt ist sondern mehrfach abgerufen werden kann. Diese Vorteile dürfen nicht durch ein – aus Sicht des Arbeitnehmers – geringeres Schutzniveau entwertet werden.

Ausblick: neuer Gesetzentwurf zum Beschäftigtendatenschutz sieht Ausnahme vor

In einigen Punkten verspricht nun der Entwurf des Bundesinnenministeriums vom 11. August 2010 zur Schaffung eines “Gesetzes zur Regelung des Beschäftigtendatenschutzes” Abhilfe, der nach verschiedenen Presseberichten noch diese Woche vom Bundeskabinett verabschiedet werden soll (Update: “Beschäftigtendatenschutz: Regierung verabschiedet Gesetzesentwurf“). Danach soll gemäß § 32i Abs. 4 BDSG-E bei Verbot der Privatnutzung (str.) auch bei privaten Daten im E-Mail-Postfach des Beschäftigten der Zugriff durch den Arbeitgeber zulässig sein, wenn der Beschäftigte hiervon weiß und es für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Fazit

Die Reichweite des Fernmeldegeheimnisses ist bei der E-Mail Überwachung durch den Arbeitgeber auch wegen seiner strafrechtlichen Absicherung eine kritische Größe und in jedem Fall zu beachten. Wollen Arbeitgeber die Privatkommunikation über die betriebliche E-Mail-Adresse gestatten, haben diese sich bei der Überwachung in den Grenzen der Erlaubnisnormen des TKG zu bewegen und müssen dadurch auf weitgehende Kontrollen ihrer Beschäftigten verzichten. Klärung einiger offener Fragen verspricht der neue Entwurf des Bundesinnenministeriums zum Beschäftigtendatenschutz: danach sollen Kontrollen insb. des E-Mail-Postfachs künftig grundsätzlich möglich sein, wenn die Privatnutzung untersagt ist (str.), der Beschäftigte hiervon weiß und die Kontrolle für den ordnungsgemäßen Geschäftsbetrieb unerlässlich ist.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsassessor Benjamin Schuetze, LL.M. (VUW)

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Das Erfordernis einer rechtlichen Regelung

Die Qualität privater Satelliten entspricht mittlerweile der von militärisch und nachrichtendienstlich genutzten Satelliten des Staates und stellt damit auch ein potentielles Sicherheitsrisiko dar. Die USA haben bereits die Ausfuhr von Satellitenbauteilen an nationale gesetzliche Regelungen des Importlandes gebunden, die ihren Sicherheitsbedenken hinreichende Garantien geben. Auch der deutsche Gesetzgeber sah daher Handlungsbedarf, die Nutzung von Satelliten-Geodaten einer gesetzlichen Regelung zu unterwerfen.

Das Satellitendatensicherheitsgesetz

Mit dem „Gesetz zum Schutz vor Gefährdung der Sicherheit der Bundesrepublik Deutschland durch das Verbreiten von hochwertigen Erdfernerkundungsdaten“ (kurz Satellitendatensicherheitsgesetz oder SatDSiG) unternimmt der Gesetzgeber den Versuch, sicherheits- und außenpolitische Interessen des Staates einerseits und privatwirtschaftliche und wissenschaftliche Interessen anderseits in Einklang zu bringen.

Privater Betrieb eines Satelliten: Genehmigungsvorbehalt

Das SatDSiG stellt den privaten Betrieb eines hochwertigen Erdfernerkundungssystems vom Gebiet der Bundesrepublik aus gem. §§ 3,1 SatDSiG unter einen Genehmigungsvorbehalt des Staates. Vorab geprüft werden sollen hierbei vor allem die durch den Satelliten gesammelten Daten.

Was sind Satelliten-Geodaten?

§ 2 Abs. 1 Nr. 2 definiert Daten im Sinne des SatDSiG als

„Signale eines Sensors oder mehrerer Sensoren eines Orbital- oder Transportsystems und alle daraus abgeleiteten Produkte, unabhängig vom Grad ihrer Verarbeitung und der Art ihrer Speicherung oder Darstellung.“

Ein solcher Sensor ist nach § 2 Abs. 1 Nr. 5 SatDSiG

„ein Teil eines raumgestützten Erdfernerkundungssystems, das elektromagnetische Wellen aller Spektralbereiche oder gravimetrische Felder aufzeichnet.“

Sind Satelliten-Geodaten auch personenbezogene Daten im Sinne des BDSG?

Ob diese Daten auch personenbezogene Daten sind, richtet sich nach § 3 Abs. 1 Bundesdatenschutzgesetz („BDSG“). Danach sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Die Meinung des EuGH und BVerfG zu dieser Frage

Im Grundsatz können Geodaten v.a. Aussagekraft über eine Person bezüglich ihres Aufenthaltes, ihrer Nutzungsbeziehung zur abgebildeten Umwelt oder zum Eigentum haben. Sind Angaben jedoch zu großflächig und somit zu allgemein, könne kein Personenbezug mehr angenommen werden. Die Übermittlung von Art und Umfang der wirtschaftlichen Flächennutzung eines Zielgebiets hat der Europäischen Gerichtshof (EuGH, Urt. v. 14.2.2000, Rs. C-369/98) jedoch als personenbezogene Daten angesehen.

Nach der Rechtsprechung des Bundesverfassungsgerichts (BVerfG, Beschluss vom 2.5.2006, 1 BvR 507/01) könne zudem die Abbildung von Grundstücken aus der Luft einen Eingriff in das allgemeine Persönlichkeitsrecht darstellen, wenn Bereiche des privaten Lebensbereichs gezeigt werden, die von öffentlichen Plätzen nicht einsehbar sind. Entscheidend ist insgesamt ob auf die Identität der betroffenen Personen geschlossen werden kann.

Übermittlung von personenbezogenen Daten

§ 27 SatDSiG ist nach der Systematik des Gesetzes Spezialnorm zu § 15 BDSG, der die Übermittlung von personenbezogenen Daten an öffentliche Stellen regelt. Von dieser Besonderheit abgesehen gilt das dem BDSG zugrunde liegende Verbot mit Erlaubnisvorbehalt einer jeden Verarbeitung von personenbezogenen Daten natürlich auch hier.

Gemäß § 27 SatDSiG wird die jeweils zuständige Behörde ermächtigt, zur Abwehr einer Gefahr für die wesentlichen Sicherheitsinteressen der Bundesrepublik Deutschland oder zur Verhinderung einer Störung des friedlichen Zusammenlebens der Völker oder einer erheblichen Störung der auswärtigen Beziehungen oder zur Verhütung oder Verfolgung von Straftaten personenbezogene Daten, die ihr bei der Erfüllung ihrer Aufgaben bekannt geworden sind, an eine andere Behörde zu übermitteln. Auch eine Übermittlung an den Bundesnachrichtendienst ist möglich, soweit der Zweckbindungsgrundsatz gewahrt wird.

§ 27 Abs. 2 SatDSiG enthält eine weitere Ermächtigungsgrundlage zur Datenübermittlung im Falle von Strafverfahren wegen eines Verstoßes gegen das SatDSiG. Gerichte und Staatsanwaltschaften dürfen hiernach aus denselben bereits zu Absatz 1 erwähnten Gründen an oberste Bundesbehörden personenbezogene Daten übermitteln. Eine Übermittlung ist nur zulässig, wenn das Interesse an der Verwendung der übermittelten personenbezogenen Daten das Interesse des Betroffenen an der Geheimhaltung erheblich überwiegt und der Untersuchungszweck des Strafverfahrens nicht gefährdet werden kann.

Das Verfahren zur Verbreitung von Daten

Soweit Daten verarbeitet werden, sieht das SatDSiG ein zweistufiges Prüfungsverfahren vor, bevor Daten von hochwertigen Erdfernerkundungssystemen erstmals verbreitet werden dürfen.

§ 17 SatDSiG legt dem Datenanbieter zunächst eine Vorabprüfung auf. Dieser hat die Anfrage auf ihre Sensitivität hin zu prüfen. Nach Absatz 2 ist eine Gesamtschau der aus den Daten zu entnehmenden Informationen sowie der antragenden Person vorzunehmen. Insbesondere die Person des Antragenden soll in geeigneter Weise durch den Datenanbieter überprüft werden. Den Datenanbieter ist nach § 18 SatDSiG umfassend zu Dokumentation von Anfragen verpflichtet.

Ziel ist es, die Möglichkeit eines Schadenseintritts für die wesentlichen Sicherheitsinteressen der Bundesrepublik Deutschland, das friedliche Zusammenleben der Völker oder die auswärtigen Beziehungen der Bundesrepublik einschätzen zu können. § 17 Abs. 3 SatDSiG zusammen mit § 2 der vom Bundesministerium für Wirtschaft und Technologie erlassenen Satellitendatensicherheitsverordnung bestimmen, unter welchen Voraussetzungen die Möglichkeit eines Schadenseintritts vorliegt. Zu berücksichtigen sind regelmäßig zu aktualisierende Sicherheitsanforderungen und internationale Verpflichtungen der Bundesrepublik, insbesondere im Zusammenhang mit der NATO.

Schließlich stellt die Verordnung in § 2 Abs. 1 fest, dass Anfragen der Bundesrepublik, die in Fällen höchster Sicherheitsrisiken nach § 21 SatDSiG auch vorrangig zu bedienen wären, nicht als sensitive Anfragen anzusehen sind. Anfragen von deutschen militärischen oder nachrichtendienstlichen Behörden sind grundsätzlich als nicht sensitiv anzusehen.

Zweite Stufe des Verfahrens: Erlaubnisvorbehalt nach § 19 SatDSiG

Die zweite Stufe des Verfahrens zur Verbreitung von Daten findet sich in einem Erlaubnisvorbehalt nach § 19 SatDSiG. Ein Datenanbieter muss jede Verbreitung von Daten hochwertiger Erdfernerkundungssysteme behördlich bestätigen lassen. Die zuständige Behörde muss innerhalb eines Monats entscheiden, ob die bereits erwähnte Möglichkeit eines Schadenseintritts nun auch im konkreten Einzelfall vorliegt.

Fazit zur Anreicherung der Diskussion, durch nationale Gesetzgebung globale Sachverhalte regeln zu wollen:

Der deutsche Gesetzgeber hat den rechtlichen Rahmen für die kommerzielle Verbreitung hochauflösender Satellitendaten geschaffen. Dies schließt datenschutzrechtliche Ermächtigungsgrundlagen im Bereich Sicherheit und Strafprävention und -verfolgung ein. Der Staat behält damit weitreichend die Kontrolle über hochauflösende Satellitendaten. Dazu gehört insbesondere das staatliche Interesse an Informationen über Personen, die Zugang zu sensitiven Daten oder eine entsprechende Anfrage getätigt haben.

Allgemeiner Hinweis: vertiefende Informationen enthält auch die Studie „Geodaten und Datenschutz“ des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) aus dem Jahr 2006.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz
Michael Stolze (Jurist (univ.))

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Zum Hintergrund (vgl. hierzu auch unseren Artikel “Flash-Cookies: Zombies im Datenschutzrecht?“)

Diverse Online-Studien haben herausgefunden, dass insgesamt etwa 30% der Internetbenutzer nach etwa einem Monat ihre Cookies löschen. Das in der Marktanalyse sehr beliebte Webtracking verliert damit an Aussagegehalt. Da Webtracking Programme oftmals auf Cookies aufbauen, können diejenigen User, welche die Cookies löschen, nicht über einen längeren Zeitraum beobachtet werden. Eine technische Neuerung war aus Sicht der Online-Marketing-Provider damit nötig. Ein Feature für den Adobe Flash Player wurde entwickelt, der sog. Flash Cookie.

Flash Cookies können unter anderem so programmiert werden, dass Cookies, die vom Nutzer im Browser gelöscht wurden, beim nächsten Besuch der Webseite wieder aktiviert werden. Diese Praxis wird im Englischen als “re-spawning” (zu Deutsch „wieder erzeugen“) bezeichnet. Die Nutzerverfolgung kann anschließend aufgrund der wieder erzeugten Cookies weitergehen, obwohl der Nutzer diese zuvor ausdrücklich in seinem Browser gelöscht hat.

Der neue Sachverhalt

Offensichtlich ist mit den neuen Flash Cookies aber nicht nur das Benutzerverhalten auf der eigenen Webseite analysiert worden. Wie cnet und VentureBeat aktuell berichten, wird den Webseiten-Betreibern vorgeworfen, mit den speziellen Flash Cookies von Clearspring das Surfverhalten insgesamt ausgewertet zu haben. Mit anderen Worten: die betreffenden Webseiten konnten angeblich nicht nur einsehen, was der Webseiten-Besucher auf Ihrer Webseite anklickte, sondern welche Internetseiten er insgesamt besucht hatte.

Information bei neuen Datenschutz-Beiträgen

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-5130 3920
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Hintergrund: ein Urteil aus England

Bereits im Jahr 2008 wurde ein ähnlich gelagerter Fall in England entschieden: ein Beschäftigter führte seine geschäftlichen Kontakte ausschließlich im Online-Netzwerk LinkedIn und verwies am PC des Arbeitgebers nur auf seine entsprechenden Notizen in dem Online-Netzwerk LinkedIn. Als er später das Unternehmen verließ, fand der Arbeitgeber lediglich diese Verweisungen auf LinkedIn vor. Ein Gericht in England verurteilte den Beschäftigten schließlich zur Herausgabe seines LinkedIn-Accounts an den Arbeitgeber.

Welche datenschutzrechtlichen Probleme können sich bei einem solchen Fall in Deutschland stellen?

Unterstellt man nun, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stellt sich die Frage, ob ein solches Herausgabeverlangen auch datenschutzrechtlich zulässig wäre.

Das Bundesdatenschutzgesetz („BDSG“) ist grundsätzlich anwendbar

Das BDSG wäre nicht anwendbar, wenn die Datenerhebung und -nutzung „ausschließlich für persönliche oder familiäre Tätigkeiten“ erfolgt (§ 1 Abs. 2 Nr. 3 BDSG). Diese Ausnahme greift aus unserer Sicht für den Beschäftigten nicht. Bei der Nutzung einer Plattform wie XING oder LinkedIn werden zumindest auch geschäftliche Interessen verfolgt. Das BDSG ist mithin anwendbar.

Herausgabe des XING-Accounts wäre „Übermittlung“ im Sinne des BDSG

Nach dem System des Datenschutzrechtes wäre eine Übermittlung des XING-Accounts an den Arbeitgeber durch den Beschäftigten grundsätzlich unzulässig, es sei denn „[das BDSG] oder eine andere Rechtsvorschrift [hat] dies erlaubt oder (…) [angeordnet] oder der Betroffene [hat] eingewilligt“ (§ 4 Abs. 1 BDSG). Zunächst einige Ausführungen zum Thema „Einwilligung“.

Das Problem der Einwilligung: an wen richtet sie sich?

Könnte in der Annahme einer Kontaktanfrage bereits die Einwilligung gesehen werden, dass diese Daten später auch an den Arbeitgeber weitergegeben werden dürfen? Schließlich handelt man bei XING oder LinkedIn nie nur in privater Mission, sondern immer auch als Vertreter des Unternehmens, das man in der Kontakt-Plattform angegeben hat (auch wird diese Firmenbezeichnung stets unter dem eigenen Namen angezeigt).

Einwilligungserklärung muss genau betrachtet werden

XING formuliert die Standard-Anfrageerklärung bei einem Kontaktwunsch folgendermaßen: „Sehr geehrte/r (…), ich würde Sie gerne zu meinen Kontakten hinzufügen“. Dabei kann derjenige, dessen Daten hinzugefügt werden sollen, unterscheiden, ob er seine privaten und/oder geschäftlichen Kontaktdaten freigeben will. Genauso kann auch der Anfragende bestimmen, ob er nur private oder nur geschäftliche Kontaktdaten freigibt oder beides. Insgesamt weist vor allem die Formulierung „ich“ darauf hin, dass letztlich nur für eine verantwortliche Stelle Daten erhoben werden sollen.

Damit liegt per se keine Einwilligung der Betroffenen (sprich der XING- bzw. LinkedIn-Kontakte) vor, dass der Beschäftigte die Daten dieser Betroffenen an den Arbeitgeber weitergeben darf.

Rechtsgrundlage für Herausgabeverlangen des Arbeitgebers möglicherweise § 11 BDSG?

Als Rechtsgrundlage für eine Übermittlung könnte im Grundsatz auch § 11 BDSG in Betracht kommen. Wäre der Beschäftigte für die Kundenführung auf XING oder LinkedIn der (streng weisungsgebundene) Auftragsdatenverarbeitungsnehmer des Arbeitgebers, so dürfte der Arbeitgeber nach dieser Vorschrift eine Weisung erteilen, die Kontaktdaten herauszugeben.

Stellt das Verhältnis eine Auftragsdatenverarbeitung dar?

Dann müsste das Verhältnis zwischen Beschäftigtem und Arbeitgeber aber als Auftragsdatenverarbeitung im Sinne von § 11 BDSG zu bewerten sein. Dies ist nach unserer Auffassung indes abzulehnen, da der Beschäftigte grundsätzlich ein eigenes Interesse an den Daten auf XING bzw. LinkedIn hat. Auch wenn die Unternehmenskunden im privaten XING- bzw. LinkedIn-Account geführt werden sollten, läge aus datenschutzrechtlicher Sicht maximal eine so genannte „Mischdatenverarbeitung“ und damit kein Fall des § 11 BDSG vor.

Rechtsgrundlage für die Übermittlung: 28 Abs. 1 S. 1 Nr. 1/2 bzw. 28 Abs. 2 BDSG?

Auch § 28 Abs. 1 S. 1 Nr. 1/2 BDSG scheidet nach unserer Auffassung als datenschutzrechtliche Erlaubnisnorm für eine Übermittlung der Daten aus: weder ist die Herausgabe der Kontaktdaten „erforderlich“ im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG, noch fällt die Interessenabwägung in § 28 Abs. 1 S. 1 Nr. 2 BDSG zu Gunsten der Übermittlung aus, da anzunehmen ist, dass von der Übermittlung betroffene Personen ein überwiegendes Interesse haben dürften, dass eine derartige Übermittlung unterbleibt. Mit den gleichen Argumenten würde im Übrigen auch eine Übermittlung auf Grundlage von § 28 Abs. 2 BDSG ausscheiden.

Fazit

Selbst wenn man unterstellt, dass auch in Deutschland der Arbeitgeber grundsätzlich die Herausgabe des XING oder LinkedIn-Accounts des Beschäftigten verlangen könnte, stünde diesem Herausgabeanspruch unserer Ansicht nach das Datenschutzrecht entgegen. Um Rechtsstreitigkeiten zu vermeiden sollten Unternehmen diese Fallkonstellationen nach Möglichkeit im Vorfeld mit den Beschäftigten klären und rechtssichere Lösungskonzepte erarbeiten. Denn mit voranschreitender Digitalisierung wird für die Unternehmen die Frage nach der Nutzung von derartigen Kontaktdaten an Bedeutung gewinnen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

Die Beklagten hatten – so lautet die Klageschrift – Flash Cookies gesetzt, welche die von den Nutzern gelöschten Cookies wiederherstellten. Daraufhin wurde das Verhalten der Nutzer auf den Webseiten getrackt.

Dieser Artikel soll die technischen Hintergründe der Flash Cookies vor dem Hintergrund des deutschen Datenschutzrechts erläutern.

Hintergrund

Diverse Online-Studien haben herausgefunden, dass insgesamt etwa 30% der Internetbenutzer nach etwa einem Monat ihre Cookies löschen. Das in der Marktanalyse sehr beliebte Webtracking verliert damit an Aussagegehalt. Da Webtracking Programme oftmals auf Cookies aufbauen, können diejenigen User, welche die Cookies löschen, nicht über einen längeren Zeitraum beobachtet werden. Eine technische Neuerung war aus Sicht der Online-Marketing-Provider damit nötig. Ein Feature für den Adobe Flash Player wurde entwickelt, der sog. Flash Cookie. Die Wissenschaftler der Universität Berkeley haben herausgefunden, dass mehr als 50 der dort untersuchten Top-Webseiten Flash Cookies verwenden.

Was sind Flash Cookies?

Flash Cookies werden auch Local Shared Objects (LSO), Super-Cookies oder teilweise einfach “Zombie-Cookies” genannt. Die Cookies werden via Flash Plug-in auf zentralen Ordnern des Computers gespeichert und sind nicht über das zentrale Browsermenü zu erreichen.

Was ist das Besondere an Flash Cookies?

Grundsätzlich hat ein Flash Cookie die gleichen Eigenschaften wie ein gewöhnlicher Cookie, hat aber weitergehende Vorteile für den Webseiten-Betreiber: Ein Flash Cookie kann insgesamt 100 kb Informationen speichern, während gewöhnliche Cookies nur bis zu 4 kb speichern können. Über diese erhöhte Komplexität können sie insgesamt stabiler gesetzt werden. Flash Cookies werden nicht in dem gleichen Ordner wie gewöhnliche Cookies abgelegt. Internetbenutzer, die noch nicht über die Existenz der Flash Cookies Bescheid wissen, werden diese dementsprechend kaum löschen, da sich diese nicht einfach über den Browser löschen lassen.

Vorteil der Flash Cookies für Webseiten-Betreiber

Flash Cookies können unter anderem so programmiert werden, dass Cookies, die vom Nutzer im Browser gelöscht wurden, beim nächsten Besuch der Webseite wieder aktiviert werden. Diese Praxis wird im Englischen als “re-spawning” (zu Deutsch „wieder erzeugen“) bezeichnet. Die Nutzerverfolgung kann anschließend aufgrund der wieder erzeugten Cookies weitergehen, obwohl der Nutzer diese zuvor ausdrücklich in seinem Browser gelöscht hat.

Cookies: personenbezogene Daten?

Ob Cookies personenbezogene Daten sind oder solche beinhalten, muss natürlich immer am Einzelfall bestimmt werden. Wenn diese, wie etwa beim Webtracking, eine Identifikationsnummer des Webseitenbesuchers beinhalten, sind diese nach wohl vorherrschender Meinung als personenbezogene Daten anzusehen. Flash Cookies, die gerade über einen längeren Zeitraum die Verfolgung der Nutzer bezwecken, können gerade auch über die längere Aufzeichnung des Verhaltens eines Users personenbezogene Daten im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz („BDSG“) schaffen. Damit sind Cookies in jedem Fall als „potentiell personenbezogene Daten“ zu begreifen und müssen damit unter dem Schutz der datenschutzrechtlichen Vorschriften behandelt werden.

Damit sind die datenschutzrechtlichen Regelungen anwendbar und müssen geprüft werden.

Was stellen sich für datenschutzrechtliche Probleme?

Grundsätzlich ist nach dem System des deutschen Datenschutzrechtes eine Erhebung oder Verarbeitung personenbezogener Daten gestattet, wenn entweder die Einwilligung des Betroffenen vorliegt oder eine Rechtsgrundlage das jeweilige Vorgehen gestattet.

Was fordert die datenschutzrechtliche Einwilligung hinsichtlich Cookies?

Eine Einwilligung im Datenschutzrecht fordert – neben weiteren formalen Voraussetzungen- grundsätzlich die Bereitstellung der nötigen Informationen. Der Träger der personenbezogenen Daten muss schließlich wissen, für was er seine Einwilligung erteilen soll. Vorausgesetzt eine klare Information wird angeboten und die Einwilligung wird auch unter den weiteren Voraussetzungen des § 4a BDSG rechtswirksam erteilt, so ist das Setzen von Flash Cookies grundsätzlich rechtlich wirksam möglich. Die Datenschutzerklärung des verwendenden Unternehmens muss damit angepasst werden. Die Einwilligungserklärung des Nutzers muss den Flash Cookie Gebrauch unbedingt beschreiben. Daneben muss auch eine Widerspruchsmöglichkeit hinsichtlich des Flash Cookies eingeräumt werden.

Rechtsgrundlage für das Setzen von Cookies?

Davon abgesehen kann eine Rechtsgrundlage für das Setzen von Cookies in § 15 Abs. 1 TMG gesehen werden, wenn diese zur Inanspruchnahme von Telemedien notwendig sind. Die sog. „Session Cookies“ können insoweit also durch das Gesetz gerechtfertigt werden. Nach dem Ende der Browser-Session müssen die Cookies jedoch automatisch gelöscht werden. Eine ledigliche Erleichterung des Betriebs einer Internetseite reicht zur Begründung des Erforderlichkeitskriteriums insoweit nicht aus.

Dauerhaft platzierte Cookies sind damit keinesfalls als „notwendig“ im Sinne von § 15 Abs. 1 TMG zu begreifen und insofern nicht unter die Rechtsgrundlage zu subsumieren. Für permanente Cookies muss daher grundsätzlich die Einwilligung des Nutzers eingeholt werden. Dies gilt dann gerade auch für Flash Cookies, da diese eben dauerhaft auf dem Computer gespeichert werden.

Was ändert sich mit der Richtlinie 2009/136/EG?

Zum 15. Mai des nächsten Jahres muss die Richtlinie 2009/136/EG (so genannte „Cookie-Richtlinie“) auch in das deutsche Recht umgesetzt sein. Nach Art. 5 Absatz 3 der Richtlinie 2002/58/EG (ePrivacy-Richtlinie), welche durch die Cookie-Richtlinie verändert wird, ist das Setzen von Cookies dann grundsätzlich nur noch mit Einwilligung des Betroffenen erlaubt (wir berichteten).

Fazit

Mit dem Setzen von Flash Cookies können sich neben rechtlichen Konsequenzen aus dem Strafrecht auch datenschutzrechtliche Schwierigkeiten stellen. Nach dem deutschen Datenschutzrecht dürfen diese grundsätzlich nur nach einer Einwilligung des Nutzers gesetzt werden. Es ist insbesondere darauf zu achten, dass Webseitenbetreiber ihre Datenschutzerklärungen entsprechend anpassen und wirksame Widerspruchsmöglichkeiten schaffen.

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-5130 3920
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.