Das Jahr 2015 hält in Sachen Datenschutz, Compliance und Gewerblichen Rechtsschutz einiges bereit.
Die Entscheidung des EuGH: Sind dynamische IP-Adressen ein personenbezogenes Datum?
Am Ende des Jahres sorgte eine Vorlage des BGH zum Europäischen Gerichtshof zur Vorabentscheidung bei Datenschützern für Aufmerksamkeit. Ein Landtagsabgeordneter aus Schleswig-Holstein verklagte den Bund auf Unterlassung der Speicherung seiner dynamischen IP-Adresse. Die Speicherung erfolgte bei jedem Besuch des Klägers auf Webseiten des Bundes aus Sicherheits- und Strafverfolgungsgründen, wie der Bund angab. Dagegen klagte der Landtagsabgeordnete, da eine dynamische IP-Adresse seiner Ansicht nach ein personenbezogenes Datum darstelle und die Speicherung, mangels gesetzlicher Grundlage, seiner ausdrücklichen Einwilligung bedürfe.
Absoluter oder relativer Personenbezug?
Der Entscheidung werden die streitigen Rechtsansichten zugrunde liegen, ob einerseits eine dynamische IP-Adresse schon dann als personenbezogen anzusehen ist, wenn irgendwer – und damit nicht notwendigerweise der momentane Besitzer der Daten – das entsprechende Datum einer Person zuordnen kann (absoluter Personenbezug). Oder ob sich die andererseits vertretene Auffassung, dass es sich bei dynamischen IP-Adressen nur dann um ein personenbezogenes Datum handelt, wenn der momentane Besitzer der Daten diese nicht oder nur unter unverhältnismäßig hohen Aufwand auf eine Person beziehen kann, durchsetzt. Bei einer dynamischen IP-Adresse wie im Streitfall kann in der Regel z.B. nur der Access-Provider einen einfachen Zugriff auf den Inhaber der IP-Adresse nehmen, und das auch nur sieben Tage bis nach Beendigung der Verbindung. Müssen also andere Unternehmen diese IP-Adressen ebenfalls nach dem BDSG schützen?
Beispiele sind IP-Adressen und Patientendaten in klinischen Studien
Ein anderes Beispiel sind pseudonymisierte Patientendaten aus klinischen Studien. Die nur unter einem Pseudonym bei den Pharma-Unternehmen (Sponsoren) ankommenden Patientendaten werden regelmäßig global im Rahmen internationaler Studien verwendet, ohne dass auf diese Daten noch die Datenschutzgesetze Anwendung fänden, weil die Empfänger grundsätzlich keine Möglichkeit einer Rückschlüsselung dieser Daten auf eine einzelne Person haben. Dies könnte sich mit dem Urteil des EuGH ändern, wenn nicht spezialgesetzliche Regelungen geschaffen werden, die diesen enormen Aufwand unterbinden.
Das Urteil des EuGH wird so oder so weitreichende Konsequenzen haben – egal wie es ausfällt. Es wird außerdem einmal mehr zeigen, dass der „Personenbezug“ eines Datums ein überholter Maßstab für die Schutzkriterien ist und abgeschafft gehört. Voraussichtlich werden jedoch innovative Vorschläge wie von Schneider und Härting auch in der europäischen Datenschutzgrundverordnung leider kein Gehör finden.
EuGH entscheidet: Auf private Überwachungskameras sind die Datenschutzgesetze anwendbar
Der Europäische Gerichtshof hat entschieden, dass die EU-Datenschutzrichtlinie unter gewissen Umständen auch auf private Videokameras anwendbar ist. Dies sei der Fall, wenn mit den privaten Kameras der öffentliche Raum, wie bspw. Straßen oder Gehwege, überwacht werde. Das bedeutet für die privaten Betreiber von Überwachungskameras, dass zum einen auf die Videoüberwachung hinzuweisen ist (§ 6b BDSG) und zum anderen die Einwilligung der Betroffenen erforderlich ist.
Allerdings regelte der EuGH zugleich auch die Ausnahmen. Zur Aufzeichnung ohne die Einwilligung der Betroffenen sei der Verantwortliche berechtigt, „wenn sie zur Verwirklichung des berechtigten Interesses des für die Verarbeitung Verantwortlichen erforderlich ist“. Was als berechtigtes Interesse anzusehen ist, kann sich im Zweifel nach Einzelfallentscheidungen richten.
Das Urteil verdeutlicht, dass datenschutzrechtliche Vorschriften in vielen Lebensbereichen auf dem Vormarsch sind und immer mehr Beachtung finden.
Prüftätigkeiten der Aufsichtsbehörden nehmen zu
Im Jahr 2014 war zu beobachten, dass die deutschen Aufsichtsbehörden für Datenschutz ihre Prüftätigkeiten bei Unternehmen ausgeweitet haben. Dies hat sich u.a. bei der unangekündigten Überprüfung von Mailservern durch das bayerische Landesamt für Datenschutzaufsicht gezeigt. Bei dieser Überprüfung genügte ein Drittel der Unternehmen nicht den Anforderungen. Nicht nur das Vorgehen der Behörden lässt auf eine steigende Prüfungsintensität der Behörden schließen. Auch die Behörden selber kündigten ein verstärktes Vorgehen an.
Behörde legt „Stand der Technik“ fest – Kompetenz überschritten?
Bemerkenswert ist an dem Vorgehen der bayerischen Aufsicht, dass sie eindeutig festgelegt hat, was als aktueller Stand der Technik anzusehen ist, der bei Verschlüsselungstechniken soweit möglich zur Anwendung kommen soll (vgl. Satz 2 der Anlage zu § 9 Satz 1 BDSG). Bei den Mailservern seien dies die Verschlüsselungstechniken STARTTLS und Perfect Forward Secrecy, so die bayerische Aufsichtsbehörde. Hier kommt zu Recht die Frage auf, ob die Behörde mit der Festlegung, was als aktueller Stand der Technik zu betrachten sei, nicht ihre Kompetenzen überschreitet.
Prüfmethoden der Behörden strafbar?
Des Weiteren wird unter IT-Experten und Juristen die Frage der Art und Weise unangekündigten Überprüfungen diskutiert. Kraska wirft die Frage auf, ob sich die Aufsichtsbehörden nicht unter Umständen nach § 202a StGB strafbar machen. Dieser Paragraph stellt das Ausspähen von Daten unter u.a. der Überwindung von Zugangssicherungen unter Strafe. Eine solche Überwindung könnte aber bei der erfolgten Überprüfung auf die sog. Heartbleed-Lücke erfolgt sein (siehe Kraska: IT-Sicherheit: Verändertes Prüfverhalten der Datenschutz-Aufsichtsbehörden, ZD Aktuell 2014, Heft 21). Diese Position ist in der Debatte eine Mindermeinung
Aufsicht will verstärkt gegen Werbeverstöße vorgehen
Im kommenden Jahr will die bayerische Aufsicht zudem stärker gegen Verstöße mit Werbedaten vorgehen. Hintergrund ist eine Zunahme von Beschwerden über unerwünschte E-Mail- und Telefonwerbung sowie Missachtung Widersprüchen. Die bayerische Aufsicht stellte fest, dass viele Werbende die benötigte Einwilligung der Betroffenen nicht hatten, obwohl dies behauptet wurde.
Das Urteil des Bundesverwaltungsgerichts zu Facebook-Fanseiten
Der Frage nach der datenschutzrechtlichen Verantwortlichkeit der Facebook-Fanseiten ist noch nicht abschließend geklärt. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ging in die vom Oberverwaltungsgericht Schleswig-Holstein zugelassene Revision. Es will erreichen, dass Unternehmen und Behörden für die von ihnen auf Facebook eingerichteten Fanseiten datenschutzrechtlich verantwortlich sind. Das ULD sah einige Argumente für eine Annahme der datenschutzrechtlichen Verantwortlichkeit durch das OVG nicht ausreichend gewürdigt.
Was wenn doch? Die Folgen der datenschutzrechtlichen Verantwortlichkeit
Sollte das Bundesverwaltungsgericht die datenschutzrechtliche Verantwortlichkeit bejahen käme das einem faktischen Nutzungsverbot gleich. Denn tatsächlich haben die Unternehmen und Behörden keine Möglichkeit Facebook die Art der Nutzung personenbezogener Daten zu diktieren, was eigentlich Grund für die Annahme ist, eine Verantwortlichkeit abzulehnen. Dies war auch eines der Argumente der ersten und zweiten Instanz. Allerdings räumten die Richter auch ein, dass die momentane Rechtslage in diesem Fall faktisch zu einer Begrenzung des Datenschutzrechts führe, was aber hingenommen werden müsse.
Unternehmen und Behörden hätten im Falle einer Verantwortlichkeit verpflichtend dafür Sorge zu tragen, dass von Facebook keine Daten erhoben werden können. Dies ist bei den sog. „like buttons“ – die auch Gegenstand des Verfahrens sind – relativ unproblematisch, wenn man auf seiner Homepage die Zwei-Klick-Lösung anwendet. Dann wird die Datenerfassung erst durch die aktive und bewusste Bestätigung des Nutzers gestartet, dieser somit in diese einwilligt. Kommt die Zwei-Klick-lösung zum Einsatz sollte aber umfassend über den Hintergrund, Sinn und Zweck informiert werden.
Ähnliche Lösungen gibt es für Facebook-Fanseiten nicht, der Nutzer bewegt sich direkt in dem sozialen Netzwerk. Folglich müssten die Seiten entfernt werden. Das wäre für viele Unternehmen ein schwerer Schlag: mittlerweile generieren viele Branchen Kunden auf Facebook, pflegen dort den Kontakt zu diesen, vermarkten ihre Produkte, weisen auf Veranstaltungen hin usw. Ein Verbot würde in diesem Kontext nicht nur als sachfremd, sondern auch wirklichkeitsfremd erscheinen.